Siber güvenlik alanında dünya lideri olan ESET, daha evvel kullanılan NFCGate aracı yerine HandyPay isimli yasal bir Android uygulamasını berbata kullanan NGate makus maksatlı yazılım ailesinin yeni bir varyantını keşfetti. Birincil amaç Brezilya’daki kullanıcılar olmakla birlikte, NFC tabanlı hücumlar yeni bölgelere yayılıyor. Tehdidin yayıldığı ülkeler içerisinde Türkiye’de var.
Akıllı telefonlar ve temassız kartlar üzere aygıtların çok kısa uzaklıktan kablosuz olarak data alışverişi yapmasını sağlayan bir teknoloji olan NFC (Near Field Communication – Yakın Alan İletişimi) günlük hayatta en yaygın olarak temassız ödeme süreçlerinde kullanılıyor. Tehdit aktörleri, NFC bilgilerini aktarmak için kullanılan uygulamayı ele geçirdi ve yapay zekâ tarafından üretilmiş üzere görünen berbat maksatlı kodla yamaladı. NGate’in evvelki sürümlerinde olduğu üzere, bu makûs emelli kod saldırganların kurbanın ödeme kartındaki NFC datalarını kendi aygıtlarına aktarmasına ve bunları temassız ATM para çekme süreçleri ve yetkisiz ödemeler için kullanmasına imkan tanıyor. Ayrıyeten kod, kurbanların ödeme kartı PIN’lerini ele geçirebilir ve bunları operatörlerin C&C sunucusuna aktarabilir.
HandyPay’i trojanize etmek için kullanılan makus emelli kod, GenAI araçlarının yardımıyla üretilmiş olduğuna dair işaretler gösteriyor. Bilhassa, berbat hedefli yazılım günlükleri, yapay zekâ tarafından üretilen metinlere mahsus bir emoji içeriyor; bu da kesin delil bulunmamasına karşın kodun üretilmesinde yahut değiştirilmesinde LLM’lerin rol oynadığını düşündürüyor. Bu durum, üretken yapay zekânın siber hatalılar için giriş mahzurunu düşürdüğü ve sonlu teknik maharete sahip tehdit aktörlerinin fonksiyonel berbat maksatlı yazılımlar üretmesini sağladığı daha geniş bir eğilime uyuyor.
ESET Research, trojanize edilmiş HandyPay’i dağıtan kampanyanın yaklaşık olarak 2025 yılının Kasım ayında başladığını ve hala etkin olduğunu düşünüyor. Ayrıyeten HandyPay’in berbat emelli yamalanmış sürümünün resmî Google Play mağazasında hiçbir vakit bulunmadığına da dikkat çekiliyor. ESET App Defense Alliance ortağı olarak, bulgularını Google ile paylaştı. ESET ayrıyeten HandyPay geliştiricileriyle irtibata geçerek uygulamalarının makûs hedefli kullanımı konusunda onları uyardı.
NFC tehditlerinin sayısı artmaya devam ettikçe bunları destekleyen ekosistem de daha sağlam hâle geldi. Birinci NGate hücumları, NFC datalarının transferini kolaylaştırmak için açık kaynaklı NFCGate aracını kullanıyordu. O vakitten beri, benzeri fonksiyonlara sahip birkaç berbat maksatlı yazılım hizmeti (MaaS) satın alınabilir hâle geldi. Lakin bu kampanyada tehdit aktörleri kendi tahlillerini kullanmaya karar vererek mevcut bir uygulamayı, HandyPay’i berbat niyetle yamaladılar.
Yeni NGate varyantını keşfeden ESET araştırmacısı Lukáš Štefanko şu açıklamalarda bulundu: “Bu kampanyanın operatörleri, NFC bilgilerini aktarmak için yerleşik bir tahlili kullanmak yerine neden HandyPay uygulamasını trojanize etmeye karar verdiler? Yanıt kolay: Para. Mevcut MaaS kitlerinin abonelik fiyatları yüzlerce dolara ulaşıyor: NFU Hisse, eserini aylık yaklaşık 400 ABD doları karşılığında satarken TX-NFC ise aylık yaklaşık 500 ABD doları istiyor. Öte yandan, yasal HandyPay uygulaması değerli ölçüde daha ucuz ve aylık yalnızca 9,99 € bağış talep ediyor, o da varsa. Fiyata ek olarak, HandyPay doğal olarak rastgele bir müsaade gerektirmez, yalnızca varsayılan ödeme uygulaması olarak ayarlanması kafidir; bu da tehdit aktörlerinin kuşku uyandırmamasını sağlar.”
İlk yeni NGate örneği, Rio de Janeiro eyalet piyango kurumu (Loterj) tarafından işletilen bir piyango olan Rio de Prêmios’u taklit eden bir web sitesi aracılığıyla; ikinci NGate örneği ise geçersiz bir Google Play web sayfası üzerinden “Proteção Cartão” isimli bir uygulama olarak dağıtılıyor. Her iki site de tıpkı tesir alanında barındırılıyordu; bu durum, tek bir tehdit aktörünün iş başında olduğunu kuvvetle işaret ediyor. Makus emelli yazılım, HandyPay hizmetini berbata kullanarak NFC kart datalarını saldırganın denetimindeki bir aygıta iletiyor. Berbat gayeli kod, NFC datalarını iletmenin yanı sıra ödeme kartı PIN’lerini de çalıyor ve böylelikle tehdit aktörünün kurbanın ödeme kartı bilgilerini kullanarak ATM’lerden nakit çekmesini sağlıyor.
Kaynak: (BYZHA) Beyaz Haber Ajansı
