Siber güvenlik alanında dünya lideri olan ESET, daha evvel kullanılan NFCGate aracı yerine HandyPay isimli legal bir Android uygulamasını berbata kullanan NGate makus maksatlı yazılım ailesinin yeni bir varyantını keşfetti. Birincil gaye Brezilya’daki kullanıcılar olmakla birlikte, NFC tabanlı akınlar yeni bölgelere yayılıyor. Tehdidin yayıldığı ülkeler içerisinde Türkiye’de var.
Akıllı telefonlar ve temassız kartlar üzere aygıtların çok kısa uzaklıktan kablosuz olarak bilgi alışverişi yapmasını sağlayan bir teknoloji olan NFC (Near Field Communication – Yakın Alan İletişimi) günlük hayatta en yaygın olarak temassız ödeme süreçlerinde kullanılıyor. Tehdit aktörleri, NFC datalarını aktarmak için kullanılan uygulamayı ele geçirdi ve yapay zekâ tarafından üretilmiş üzere görünen makus maksatlı kodla yamaladı. NGate’in evvelki sürümlerinde olduğu üzere, bu makûs maksatlı kod saldırganların kurbanın ödeme kartındaki NFC bilgilerini kendi aygıtlarına aktarmasına ve bunları temassız ATM para çekme süreçleri ve yetkisiz ödemeler için kullanmasına imkan tanıyor. Ayrıyeten kod, kurbanların ödeme kartı PIN’lerini ele geçirebilir ve bunları operatörlerin C&C sunucusuna aktarabilir.
HandyPay’i trojanize etmek için kullanılan berbat hedefli kod, GenAI araçlarının yardımıyla üretilmiş olduğuna dair işaretler gösteriyor. Bilhassa, makûs hedefli yazılım günlükleri, yapay zekâ tarafından üretilen metinlere mahsus bir emoji içeriyor; bu da kesin delil bulunmamasına karşın kodun üretilmesinde yahut değiştirilmesinde LLM’lerin rol oynadığını düşündürüyor. Bu durum, üretken yapay zekânın siber hatalılar için giriş mahzurunu düşürdüğü ve hudutlu teknik hünere sahip tehdit aktörlerinin fonksiyonel makûs maksatlı yazılımlar üretmesini sağladığı daha geniş bir eğilime uyuyor.
ESET Research, trojanize edilmiş HandyPay’i dağıtan kampanyanın yaklaşık olarak 2025 yılının Kasım ayında başladığını ve hala etkin olduğunu düşünüyor. Ayrıyeten HandyPay’in makûs maksatlı yamalanmış sürümünün resmî Google Play mağazasında hiçbir vakit bulunmadığına da dikkat çekiliyor. ESET App Defense Alliance ortağı olarak, bulgularını Google ile paylaştı. ESET ayrıyeten HandyPay geliştiricileriyle bağlantıya geçerek uygulamalarının makûs gayeli kullanımı konusunda onları uyardı.
NFC tehditlerinin sayısı artmaya devam ettikçe bunları destekleyen ekosistem de daha sağlam hâle geldi. Birinci NGate hücumları, NFC datalarının transferini kolaylaştırmak için açık kaynaklı NFCGate aracını kullanıyordu. O vakitten beri, emsal fonksiyonlara sahip birkaç makus maksatlı yazılım hizmeti (MaaS) satın alınabilir hâle geldi. Lakin bu kampanyada tehdit aktörleri kendi tahlillerini kullanmaya karar vererek mevcut bir uygulamayı, HandyPay’i makus niyetle yamaladılar.
Yeni NGate varyantını keşfeden ESET araştırmacısı Lukáš Štefanko şu açıklamalarda bulundu: “Bu kampanyanın operatörleri, NFC bilgilerini aktarmak için yerleşik bir tahlili kullanmak yerine neden HandyPay uygulamasını trojanize etmeye karar verdiler? Karşılık kolay: Para. Mevcut MaaS kitlerinin abonelik fiyatları yüzlerce dolara ulaşıyor: NFU Hisse, eserini aylık yaklaşık 400 ABD doları karşılığında satarken TX-NFC ise aylık yaklaşık 500 ABD doları istiyor. Öte yandan, yasal HandyPay uygulaması değerli ölçüde daha ucuz ve aylık yalnızca 9,99 € bağış talep ediyor, o da varsa. Fiyata ek olarak, HandyPay doğal olarak rastgele bir müsaade gerektirmez, yalnızca varsayılan ödeme uygulaması olarak ayarlanması kafidir; bu da tehdit aktörlerinin kuşku uyandırmamasını sağlar.”
İlk yeni NGate örneği, Rio de Janeiro eyalet piyango kurumu (Loterj) tarafından işletilen bir piyango olan Rio de Prêmios’u taklit eden bir web sitesi aracılığıyla; ikinci NGate örneği ise uydurma bir Google Play web sayfası üzerinden “Proteção Cartão” isimli bir uygulama olarak dağıtılıyor. Her iki site de tıpkı tesir alanında barındırılıyordu; bu durum, tek bir tehdit aktörünün iş başında olduğunu kuvvetle işaret ediyor. Makus hedefli yazılım, HandyPay hizmetini berbata kullanarak NFC kart datalarını saldırganın denetimindeki bir aygıta iletiyor. Berbat maksatlı kod, NFC bilgilerini iletmenin yanı sıra ödeme kartı PIN’lerini de çalıyor ve böylelikle tehdit aktörünün kurbanın ödeme kartı datalarını kullanarak ATM’lerden nakit çekmesini sağlıyor.
Kaynak: (BYZHA) Beyaz Haber Ajansı
