Temassız tehdit büyüyor, NFC hücumları yayılıyor

Siber güvenlik alanında dünya lideri olan ESET, daha evvel kullanılan NFCGate aracı yerine HandyPay isimli legal bir Android uygulamasını berbata kullanan NGate berbat emelli yazılım ailesinin yeni bir varyantını keşfetti. Birincil amaç Brezilya’daki kullanıcılar olmakla birlikte, NFC tabanlı akınlar yeni bölgelere yayılıyor. Tehdidin yayıldığı ülkeler içerisinde Türkiye’de var. 

Akıllı telefonlar ve temassız kartlar üzere aygıtların çok kısa aradan kablosuz olarak bilgi alışverişi yapmasını sağlayan bir teknoloji olan NFC (Near Field Communication – Yakın Alan İletişimi) günlük hayatta en yaygın olarak temassız ödeme süreçlerinde kullanılıyor.  Tehdit aktörleri, NFC datalarını aktarmak için kullanılan uygulamayı ele geçirdi ve yapay zekâ tarafından üretilmiş üzere görünen makus hedefli kodla yamaladı. NGate’in evvelki sürümlerinde olduğu üzere, bu makus emelli kod saldırganların kurbanın ödeme kartındaki NFC datalarını kendi aygıtlarına aktarmasına ve bunları temassız ATM para çekme süreçleri ve yetkisiz ödemeler için kullanmasına imkan tanıyor. Ayrıyeten kod, kurbanların ödeme kartı PIN’lerini ele geçirebilir ve bunları operatörlerin C&C sunucusuna aktarabilir.  

HandyPay’i trojanize etmek için kullanılan makus maksatlı kod, GenAI araçlarının yardımıyla üretilmiş olduğuna dair işaretler gösteriyor. Bilhassa, makûs maksatlı yazılım günlükleri, yapay zekâ tarafından üretilen metinlere has bir emoji içeriyor; bu da kesin delil bulunmamasına karşın kodun üretilmesinde yahut değiştirilmesinde LLM’lerin rol oynadığını düşündürüyor. Bu durum, üretken yapay zekânın siber hatalılar için giriş mahzurunu düşürdüğü ve sonlu teknik marifete sahip tehdit aktörlerinin fonksiyonel makus gayeli yazılımlar üretmesini sağladığı daha geniş bir eğilime uyuyor.

ESET Research, trojanize edilmiş HandyPay’i dağıtan kampanyanın yaklaşık olarak 2025 yılının Kasım ayında başladığını ve hala etkin olduğunu düşünüyor. Ayrıyeten HandyPay’in makus emelli yamalanmış sürümünün resmî Google Play mağazasında hiçbir vakit bulunmadığına da dikkat çekiliyor. ESET App Defense Alliance ortağı olarak, bulgularını Google ile paylaştı. ESET ayrıyeten HandyPay geliştiricileriyle bağlantıya geçerek uygulamalarının makus hedefli kullanımı konusunda onları uyardı. 

NFC tehditlerinin sayısı artmaya devam ettikçe bunları destekleyen ekosistem de daha sağlam hâle geldi. Birinci NGate atakları, NFC bilgilerinin transferini kolaylaştırmak için açık kaynaklı NFCGate aracını kullanıyordu. O vakitten beri, emsal fonksiyonlara sahip birkaç berbat hedefli yazılım hizmeti (MaaS) satın alınabilir hâle geldi. Lakin bu kampanyada tehdit aktörleri kendi tahlillerini kullanmaya karar vererek mevcut bir uygulamayı, HandyPay’i berbat niyetle yamaladılar.

Yeni NGate varyantını keşfeden ESET araştırmacısı Lukáš Štefanko şu açıklamalarda bulundu: “Bu kampanyanın operatörleri, NFC bilgilerini aktarmak için yerleşik bir tahlili kullanmak yerine neden HandyPay uygulamasını trojanize etmeye karar verdiler? Karşılık kolay: Para. Mevcut MaaS kitlerinin abonelik fiyatları yüzlerce dolara ulaşıyor: NFU Hisse, eserini aylık yaklaşık 400 ABD doları karşılığında satarken TX-NFC ise aylık yaklaşık 500 ABD doları istiyor. Öte yandan, legal HandyPay uygulaması kıymetli ölçüde daha ucuz ve aylık yalnızca 9,99 € bağış talep ediyor, o da varsa. Fiyata ek olarak, HandyPay doğal olarak rastgele bir müsaade gerektirmez, yalnızca varsayılan ödeme uygulaması olarak ayarlanması kafidir; bu da tehdit aktörlerinin kuşku uyandırmamasını sağlar.”

İlk yeni NGate örneği, Rio de Janeiro eyalet piyango kurumu (Loterj) tarafından işletilen bir piyango olan Rio de Prêmios’u taklit eden bir web sitesi aracılığıyla; ikinci NGate örneği ise uydurma bir Google Play web sayfası üzerinden “Proteção Cartão” isimli bir uygulama olarak dağıtılıyor. Her iki site de tıpkı tesir alanında barındırılıyordu; bu durum, tek bir tehdit aktörünün iş başında olduğunu kuvvetle işaret ediyor. Berbat hedefli yazılım, HandyPay hizmetini berbata kullanarak NFC kart datalarını saldırganın denetimindeki bir aygıta iletiyor. Makus hedefli kod, NFC bilgilerini iletmenin yanı sıra ödeme kartı PIN’lerini de çalıyor ve böylelikle tehdit aktörünün kurbanın ödeme kartı bilgilerini kullanarak ATM’lerden nakit çekmesini sağlıyor.

Kaynak: (BYZHA) Beyaz Haber Ajansı