Siber güvenlik devi ESET, NFC tabanlı saldırılarda kullanılan NGate kötü amaçlı yazılımının yepyeni bir varyantını gün yüzüne çıkardı. Bu varyant, daha önce kullanılan NFCGate aracı yerine HandyPay adlı meşru bir Android uygulamasını manipüle ediyor. Saldırıların ana hedefi Brezilya’daki kullanıcılar olsa da, tehdidin hızla yeni coğrafyalara sıçradığı belirtiliyor. Bu ülkeler arasında Türkiye de yer alıyor.
Saldırı Nasıl İşliyor?
NFC (Yakın Alan İletişimi), akıllı telefonlar ve temassız kartlar gibi cihazların kısa mesafeden kablosuz veri alışverişi yapmasını sağlayan bir teknoloji. Günlük hayatta en çok temassız ödeme işlemlerinde kullanılıyor. Tehdit aktörleri, NFC verilerini aktarmak için kullanılan bir uygulamayı ele geçirerek içine yapay zeka yardımıyla üretilmiş gibi görünen kötü amaçlı kod yerleştirdi. Tıpkı NGate’in önceki sürümlerinde olduğu gibi, bu yazılım da saldırganların kurbanın ödeme kartındaki NFC verilerini kendi cihazlarına kopyalamasına olanak tanıyor. Ardından bu veriler, temassız ATM para çekme işlemleri ve yetkisiz ödemeler için kullanılıyor. Üstelik yazılım, kurbanların ödeme kartı PIN’lerini de ele geçirerek bunları saldırganların komuta ve kontrol sunucusuna iletebiliyor.
ESET araştırmacıları, HandyPay’i trojanize etmek için kullanılan kodun GenAI araçları yardımıyla üretildiğine dair güçlü işaretler buldu. Kötü amaçlı yazılım günlüklerinde, yapay zeka tarafından üretilen metinlerde sıkça rastlanan bir emoji tespit edildi. Bu durum, kodun üretilmesinde veya değiştirilmesinde büyük dil modellerinin (LLM) rol oynadığını düşündürüyor. Bu bulgu, üretken yapay zekanın siber suçlular için giriş engelini düşürdüğü ve sınırlı teknik beceriye sahip kişilerin bile işlevsel kötü amaçlı yazılımlar üretebildiği genel eğilimle örtüşüyor.
Kampanya Kasım 2025’te Başladı ve Hala Aktif
ESET Research, trojanize edilmiş HandyPay’i dağıtan kampanyanın yaklaşık olarak 2025 yılının Kasım ayında başladığını ve halen aktif olduğunu tahmin ediyor. Önemli bir detay ise, HandyPay’in kötü amaçlı sürümünün resmi Google Play mağazasında hiçbir zaman yer almamış olması. ESET, App Defense Alliance ortağı olarak bulgularını Google ile paylaştı. Ayrıca HandyPay geliştiricileriyle iletişime geçerek uygulamalarının kötüye kullanıldığı konusunda uyarıda bulundu.
NFC tehditlerinin sayısı arttıkça, bu tehditleri destekleyen ekosistem de giderek güçleniyor. İlk NGate saldırıları, NFC verilerinin aktarımı için açık kaynaklı NFCGate aracını kullanıyordu. O zamandan bu yana, benzer işlevlere sahip birkaç kötü amaçlı yazılım hizmeti (MaaS) satın alınabilir hale geldi. Ancak bu kampanyada tehdit aktörleri, mevcut bir uygulama olan HandyPay’i kötü niyetle yamalayarak kendi çözümlerini kullanmayı tercih etti.
Neden HandyPay? Cevap: Para
ESET araştırmacısı Lukáš Štefanko, saldırganların neden mevcut bir MaaS kiti yerine HandyPay’i trojanize etmeyi seçtiklerini şöyle açıklıyor:
“Cevap basit: Para. Mevcut MaaS kitlerinin abonelik ücretleri yüzlerce dolara ulaşıyor: NFU Pay ürününü aylık yaklaşık 400 ABD doları karşılığında satarken, TX-NFC ise aylık yaklaşık 500 ABD doları istiyor. Öte yandan, meşru HandyPay uygulaması önemli ölçüde daha ucuz ve aylık sadece 9,99 € bağış talep ediyor, o da varsa. Fiyata ek olarak, HandyPay doğal olarak herhangi bir izin gerektirmez, sadece varsayılan ödeme uygulaması olarak ayarlanması yeterlidir; bu da tehdit aktörlerinin şüphe uyandırmamasını sağlar.”
Yeni NGate örneklerinin dağıtımı iki farklı yöntemle gerçekleştiriliyor. İlk örnek, Rio de Janeiro eyalet piyango kurumu (Loterj) tarafından işletilen bir piyango olan Rio de Prêmios‘u taklit eden bir web sitesi aracılığıyla yayılıyor. İkinci örnek ise sahte bir Google Play web sayfası üzerinden “Proteção Cartão” adlı bir uygulama olarak sunuluyor. Her iki site de aynı etki alanında barındırılıyor; bu da tek bir tehdit aktörünün iş başında olduğunu kuvvetle işaret ediyor.
Kötü amaçlı yazılım, HandyPay hizmetini kötüye kullanarak NFC kart verilerini saldırganın kontrolündeki bir cihaza iletiyor. Bunun yanı sıra ödeme kartı PIN’lerini de çalan yazılım, tehdit aktörünün kurbanın ödeme kartı verilerini kullanarak ATM’lerden nakit çekmesine olanak tanıyor. Bu gelişme, NFC tabanlı saldırıların giderek daha sofistike hale geldiğini ve kullanıcıların temassız ödeme sistemlerine karşı daha dikkatli olması gerektiğini gösteriyor.
Kaynak: Beyaz Haber Ajansı