Το Ερευνητικό Κέντρο της εταιρείας κυβερνοασφάλειας ESET εντόπισε νέα παραλλαγή της οικογένειας κακόβουλου λογισμικού NGate, η οποία εκμεταλλεύεται μια νόμιμη εφαρμογή Android με την ονομασία HandyPay. Οι επιτιθέμενοι τροποποίησαν την εφαρμογή μεταφοράς δεδομένων NFC, ενσωματώνοντας κακόβουλο κώδικα που φαίνεται να έχει παραχθεί με τη χρήση τεχνητής νοημοσύνης.
Όπως και σε προηγούμενες εκδόσεις του NGate, το κακόβουλο λογισμικό επιτρέπει στους επιτιθέμενους να μεταφέρουν δεδομένα NFC από την κάρτα πληρωμής του θύματος στη δική τους συσκευή και να τα αξιοποιούν για ανέπαφες αναλήψεις μετρητών από ΑΤΜ, καθώς και για μη εξουσιοδοτημένες πληρωμές. Επιπλέον, μπορεί να καταγράφει τους κωδικούς PIN των καρτών πληρωμής των θυμάτων και να τους αποστέλλει στον διακομιστή εντολών και ελέγχου (C&C) των δραστών. Οι κύριοι στόχοι του συγκεκριμένου κακόβουλου λογισμικού εντοπίζονται στη Βραζιλία. Ωστόσο, οι επιθέσεις που βασίζονται σε NFC φαίνεται να επεκτείνονται και σε άλλες περιοχές.
Ο κακόβουλος κώδικας που χρησιμοποιήθηκε για την εγκατάσταση του trojan στο HandyPay παρουσιάζει ενδείξεις ότι δημιουργήθηκε με τη βοήθεια εργαλείων GenAI. Συγκεκριμένα, τα αρχεία καταγραφής περιέχουν ένα emoji που θεωρείται χαρακτηριστικό κειμένου παραγόμενου από τεχνητή νοημοσύνη, γεγονός που υποδηλώνει πιθανή εμπλοκή μεγάλων γλωσσικών μοντέλων (LLM) στη δημιουργία ή τροποποίησή του, αν και δεν υπάρχουν ακόμη οριστικές αποδείξεις.
Η εξέλιξη αυτή, σημειώνεται στη σχετική ανακοίνωση, εντάσσεται σε μια ευρύτερη τάση, σύμφωνα με την οποία η GenAI διευκολύνει κυβερνοεγκληματίες, επιτρέποντας ακόμη και σε άτομα με περιορισμένες τεχνικές δεξιότητες να αναπτύσσουν λειτουργικό κακόβουλο λογισμικό.
Το Κέντρο Ερευνών της ESET εκτιμά ότι η εκστρατεία διάδοσης του HandyPay με το κακόβουλο λογισμικό ξεκίνησε το Νοέμβριο του 2025 και παραμένει ενεργή μέχρι σήμερα. Αξίζει επίσης να σημειωθεί ότι η έκδοση του HandyPay με το κακόβουλο λογισμικό δεν ήταν ποτέ διαθέσιμη στο επίσημο Google Play Store. Ως συνεργάτης της App Defense Alliance, η ESET κοινοποίησε τα ευρήματά της στην Google. Παράλληλα, η ESET επικοινώνησε με τους προγραμματιστές του HandyPay, προκειμένου να τους ενημερώσει για την κακόβουλη χρήση της εφαρμογής τους.