Kiberxavfsizlik tadqiqotchilari NGate malware oilasining yangi variantini aniqladi, u HandyPay nomli haqiqiy Android ilovasidan foydalanib, kontaktsiz bankomatdan pul yechib olish hujumlarini amalga oshirishga mo‘ljallangan. Oldingi versiyalar NFCGate kabi ochiq manbali vositalarga tayanar edi, ammo bu safar hujumchilar HandyPay ilovasiga sun’iy intellekt yordamida yozilganga o‘xshash zararli kod joylashtirgan.
"Ushbu modifikatsiya qilingan ilova foydalanuvchining bank kartasi PIN kodini yashirin tarzda qo‘lga kiritadi va NFC orqali uzatiladigan ma’lumotlarni xaker qurilmasiga real vaqt rejimida yuboradi, natijada asl karta nusxalanadi"
Mazkur kampaniya 2025-yil noyabr oyidan beri faol bo‘lib, asosan Android foydalanuvchilarini nishonga olgan. Google Play Protect yoqilgan qurilmalarda ma’lum variantlardan himoya mavjud bo‘lishi mumkin.
Hujumning ishlash mexanizmi asosan ijtimoiy muhandislikka asoslangan bo‘lib, foydalanuvchini rasmiy bo‘lmagan manbalardan ilova o‘rnatishga majbur qiladi. Hujumchilar zararli HandyPay ilovasini ikki asosiy usul orqali tarqatmoqda.
Birinchi usulda foydalanuvchi Rio de Prêmios davlat lotereyasiga o‘xshash soxta saytga yo‘naltiriladi. Saytda doim yutuq beradigan “scratch card” o‘yini mavjud bo‘lib, foydalanuvchi yutganiga ishontiriladi. Sovrinni olish jarayonida esa u WhatsApp orqali bog‘lanishga yo‘naltiriladi va bank vakili sifatida o‘zini tanishtirgan shaxs orqali zararli ilova yuklatiladi.
Ikkinchi usulda esa Google Play sahifasiga o‘xshash soxta sahifa yaratiladi va unda “Proteção Cartão” nomli xavfsizlik ilovasi taklif qilinadi. Yuklab olish jarayonida Android tizimi ilovani bloklaydi, ammo foydalanuvchidan “unknown sources” funksiyasini qo‘lda yoqish talab qilinadi.
Ilova o‘rnatilgach, foydalanuvchidan uni asosiy to‘lov ilovasi sifatida belgilash so‘raladi. HandyPay ilovasining bu funksiyasi hech qanday qo‘shimcha ruxsat talab qilmagani sababli malware osonlik bilan yashirin qoladi.
Keyingi bosqichda foydalanuvchidan karta PIN kodi kiritilishi va kartani telefon orqasiga yaqinlashtirish talab qilinadi.
"Foydalanuvchi oddiy amal bajarayotgandek tuyuladi, ammo aynan shu vaqtda uning karta ma’lumotlari to‘liq o‘qilib, xaker qurilmasiga uzatiladi va bu orqali kartani masofadan turib klonlash imkoniyati yaratiladi"
Welivesecurity tadqiqotlariga ko‘ra, HandyPay ilovasidan foydalanish hujumchilarning strategik o‘zgarishini ko‘rsatadi. Ular endi qimmat va murakkab vositalardan voz kechib, arzon va samarali usullarga o‘tmoqda.
Oldingi NFC relay xizmatlari (NFU Pay, TX-NFC) oyiga yuzlab dollar turar edi, ammo HandyPay ilovasi orqali bu imkoniyatlar juda arzon narxda qo‘lga kiritilmoqda.
"Bu esa xakerlarga minimal xarajat bilan yuqori darajadagi hujumlarni keng miqyosda amalga oshirish imkonini beradi"
Tadqiqotchilar hujum infratuzilmasini tahlil qilganda, Braziliyadagi bir nechta qurilmalardan olingan loglarni aniqlagan. Ushbu loglarda PIN kodlar, IP manzillar va aniq hujum vaqtlariga oid ma’lumotlar mavjud bo‘lib, bu kampaniya real va faol ekanini ko‘rsatadi.
