- 惡意變種: ESET 研究員發現 NGate 惡意軟體新變種濫用了合法的 Android 應用程式 HandyPay。
- AI 生成代碼: 威脅行為者極可能利用了 生成式 AI (GenAI) 對 App 進行代碼修補。
- 目標地區: 此攻擊活動自 2025 年 11 月起持續活躍,主要鎖定 巴西 用戶。
- 散布渠道: 主要透過虛假樂透網站與偽造的 Google Play 商店分發。
這些惡意代碼允許攻擊者將受害者支付卡中的 NFC 數據 即時傳送到自己的設備上,進而執行 ATM 感應式盜領 或未經授權的支付。此外,該變種還能擷取受害者的 PIN 碼 並回傳至 C&C 控制伺服器。
生成式 AI 的介入
技術分析顯示,該惡意軟體的日誌中包含了一個典型於 AI 生成文本的 Emoji 表情符號。這顯示 LLM(大型語言模型)已被用於降低犯罪門檻,使技術能力有限的駭客也能產出具備實戰能力的惡意軟體。
經濟動機:為何選擇 HandyPay?
「為什麼他們決定將 HandyPay 木馬化,而不是使用已有的 NFC 中繼方案?答案很簡單:錢。」
— ESET 研究員 Lukáš Štefanko
傳統的「惡意軟體即服務」(MaaS) 套件每月租金高達 400 至 500 美元。相較之下,合法的 HandyPay 僅需每月約 9.99 歐元 的小額捐贈即可使用,且其原生設計不要求敏感權限,只需被設定為預設支付 App,這大大降低了受害者的戒心。
2025 年 1 月至 2026 年 2 月期間 NGate 攻擊的地理分佈趨勢
散布與預防
目前發現 NGate 透過偽裝成巴西樂透網站 Rio de Prêmios 或名為 Proteção Cartão(卡片保護)的虛假商店 App 進行傳播。ESET 已將相關發現提交給 Google 及開發者,並建議用戶僅透過 Google Play 官方商店 下載應用程式。
欲閱讀更詳細的技術分析,請參閱 ESET 官方部落格: 查看完整研究報告