Vírusový radar / Nový variant NGate, malvéru kradnúceho karty, mohol byť vytvorený aj pomocou AI
Aj vy máte ten pocit, že čím ste starší, čas ubieha rýchlejšie a rovnako rýchlejšie sa točí aj svet? Nestačím sa čudovať, ako rýchlo sa mesiac s mesiacom stretne, keď pripravujem túto pravidelnú rubriku. Mám s čím porovnávať, keďže ju píšem nejakých pätnásť rokov. Našťastie – alebo skôr bohužiaľ – kybernetické hrozby toto tempo dokážu čoraz lepšie stíhať a prekonávať.
{{BANNER|SIMPLE_BANNER_HOMEPAGE_2}
Minulý mesiac sme napríklad objavili nový variant malvéru z rodiny NGate, ktorý zneužíva legitímnu aplikáciu pre Android s názvom HandyPay. Útočníci si vzali aplikáciu, ktorá slúži na prenos dát NFC, a doplnili ju o škodlivý kód, ktorý vyzerá ako generovaný pomocou umelej inteligencie. Rovnako ako pri predchádzajúcich verziách NGate umožňuje škodlivý kód útočníkom prenášať dáta NFC z platobnej karty obete do vlastného zariadenia a následne ich zneužívať na bezkontaktné výbery hotovosti z bankomatov a neoprávnené platby. Okrem toho dokáže kód zachytávať PIN kódy platobných kariet obetí a exfiltrovať ich na riadiaci a kontrolný server operátorov. Primárnym cieľom útokov tohto variantu sú používatelia v Brazílii, ale NFC útoky sa rozširujú aj do ďalších regiónov.
Škodlivý kód použitý na trojanizáciu aplikácie HandyPay vykazuje znaky toho, že bol vytvorený pomocou nástrojov generatívnej umelej inteligencie. Konkrétne protokoly malvéru obsahujú emodži typické pre text generovaný AI, čo naznačuje zapojenie veľkých jazykových modelov pri generovaní alebo úprave kódu, hoci jednoznačný dôkaz zatiaľ chýba. Zapadá to do širšieho trendu, v ktorom GenAI znižuje vstupnú bariéru pre kyberzločincov a umožňuje aj aktérom s obmedzenými technickými znalosťami vytvárať funkčný malvér.
Naši výskumníci sa domnievajú, že kampaň šíriaca trojanizovanú aplikáciu HandyPay sa začala približne v novembri 2025 a je stále aktívna. Zároveň treba zdôrazniť, že škodlivo upravená verzia HandyPay nikdy nebola dostupná v oficiálnom obchode Google Play. Ako partner aliancie App Defense Alliance sme o našich zisteniach informovali spoločnosť Google. ESET zároveň kontaktoval aj vývojárov HandyPay, aby ich upozornil na škodlivé zneužívanie ich aplikácie.
Jedna z nových vzoriek NGate je šírená prostredníctvom webovej stránky, ktorá sa vydáva za Rio de Prêmios, lotériu prevádzkovanú lotériovou organizáciou brazílskeho štátu Rio de Janeiro (Loterj). Druhá vzorka NGate sa distribuuje cez falošnú webovú stránku Google Play ako aplikácia s názvom Proteção Cartão (strojový preklad: Ochrana karty). Obe stránky boli hosťované na rovnakej doméne, čo silne naznačuje pôsobenie jedného a toho istého aktéra. Malvér zneužíva službu HandyPay na preposielanie dát NFC platobných kariet na zariadenie ovládané útočníkom. Okrem samotného prenosu dát NFC škodlivý kód kradne aj PIN kódy platobných kariet, čo útočníkom umožňuje vyberať hotovosť z bankomatov pomocou údajov obetí.
No ale z ďalekej Brazílie naspäť na Slovensko, kde sme nedávno zachytili prepracovanú phishingovú kampaň zameranú na našincov. Útočníci sa v nej vydávajú za energetickú spoločnosť ZSE, pričom obetiam prostredníctvom e-mailov zasielajú falošné faktúry za elektrinu. V skutočnosti má príloha stiahnuť do zariadenia dôkladne zamaskovaný malvér určený na krádež hesiel a citlivých údajov.
Útočníci sa v kampani spoľahli na dôveryhodne pôsobiaci e-mail s predmetom Elektronická faktúra. Príjemca môže nadobudnúť dojem, že ide o legitímnu správu od ZSE, keďže ako zobrazované meno odosielateľa bol nastavený názov tejto spoločnosti – aj keď samotná e-mailová adresa ničím nepripomínala správy od tejto spoločnosti.
Dôveryhodnosť e-mailu posilnilo aj to, že odkazy v texte smerovali na reálnu webovú stránku ZSE a uvedené bankové účty takisto patrili tejto spoločnosti. Práve kombinácia známych značiek, reálnych odkazov a zdanlivo bežnej fakturačnej komunikácie mohla viesť k tomu, že používateľ považoval e-mail za pravý.
Kampaň je zaujímavá aj z technickej stránky a vyniká snahou kamuflovať škodlivý kód. Prílohou e-mailu bol archív vo formáte ZIP s názvom Faktura_7576654137·pdf.zip, ktorý sa na prvý pohľad mohol javiť ako dokument PDF. Po jeho rozbalení sa v ňom nachádzal súbor Faktura_7576654137˙pdf.js, ktorý opäť pôsobil ako bežné PDF. V prostredí, kde sa nezobrazujú známe prípony súborov, tak používateľ nemusel rozpoznať, že namiesto PDF najprv otvára archív ZIP a následne javascriptový súbor so škodlivým kódom.
Otvorenie JavaScriptu viedlo k spusteniu viacstupňového malvéru CloudEyE, ktorého úlohou je maskovať a rozbehnúť ďalšie fázy útoku. Nasledoval reťazec infekcie zložený z viacerých škodlivých skriptov s finálnym škodlivým kódom Formbook. Ide o známy infostealer určený na krádež prihlasovacích údajov a širokej palety ďalších citlivých informácií z napadnutého zariadenia. Všetky fázy útoku boli kamuflované a šifrované, aby sťažili detekciu a analýzu.
Tentoraz sa nám už do tejto výberovky viac nezmestí, takže ak vás objavy z nášho Labu zaujali, pre ďalšie sledujte ESET Research na sociálnych sieťach X (kedysi známej ako Twitter), Bluesky a Mastodon. Ako vždy vám želám zaujímavé, určite aj zábavné, no predovšetkým bezpečné surfovanie kybernetickým priestorom. Dovidenia o mesiac.
