Οι ειδικοί της ESET διαπίστωσαν ότι οι χάκερς έχουν τροποποιήσει την εφαρμογή μεταφοράς δεδομένων NFC, ενσωματώνοντας σε αυτήν κακόβουλο κώδικα που φαίνεται να έχει παραχθεί με τη χρήση τεχνητής νοημοσύνης. Η παραλλαγή του NGate επιτρέπει στους δράστες να μεταφέρουν δεδομένα NFC από κάρτες πληρωμής θυμάτων στις δικές τους συσκευές.
Με αυτόν τον τρόπο, οι κυβερνοεγκληματίες μπορούν να πραγματοποιούν ανέπαφες αναλήψεις μετρητών από ΑΤΜ ή μη εξουσιοδοτημένες πληρωμές. Παράλληλα, το κακόβουλο λογισμικό καταγράφει τους κωδικούς PIN των καρτών και τους αποστέλλει στον διακομιστή εντολών και ελέγχου (C&C).
Οι βασικοί στόχοι της συγκεκριμένης εκστρατείας εντοπίζονται στη Βραζιλία. Ωστόσο, σύμφωνα με την ESET, οι επιθέσεις που αξιοποιούν τεχνολογία NFC φαίνεται να εξαπλώνονται και σε άλλες περιοχές.
Ενδείξεις εμπλοκής τεχνητής νοημοσύνης
Το κακόβουλο λογισμικό που χρησιμοποιήθηκε για την εγκατάσταση του trojan στο HandyPay παρουσιάζει χαρακτηριστικά που παραπέμπουν σε εργαλεία GenAI. Όπως αναφέρει η ESET, τα αρχεία καταγραφής περιλαμβάνουν ένα emoji, στοιχείο που θεωρείται ενδεικτικό κειμένου παραγόμενου από τεχνητή νοημοσύνη. Το εύρημα αυτό υποδηλώνει πιθανή εμπλοκή μεγάλων γλωσσικών μοντέλων (LLM) στη δημιουργία ή τροποποίηση του κακόβουλου κώδικα.
Αν και δεν υπάρχουν ακόμη οριστικές αποδείξεις, η εταιρεία σημειώνει ότι η εξέλιξη αυτή εντάσσεται σε μια ευρύτερη τάση, όπου η τεχνητή νοημοσύνη διευκολύνει κυβερνοεγκληματίες να αναπτύσσουν λειτουργικά κακόβουλα προγράμματα, ακόμη και χωρίς προηγμένες τεχνικές γνώσεις.
Διάδοση και ενέργειες της ESET
Το Ερευνητικό Κέντρο της ESET εκτιμά ότι η καμπάνια διάδοσης του HandyPay με ενσωματωμένο κακόβουλο λογισμικό ξεκίνησε τον Νοέμβριο του 2025 και παραμένει ενεργή. Η μολυσμένη έκδοση της εφαρμογής δεν διατέθηκε ποτέ μέσω του επίσημου Google Play Store.
Ως συνεργάτης της App Defense Alliance, η ESET κοινοποίησε τα ευρήματά της στην Google και επικοινώνησε με τους προγραμματιστές του HandyPay, προκειμένου να τους ενημερώσει για τη μη εξουσιοδοτημένη χρήση της εφαρμογής τους.
