Temassız Tehditler Artıyor: NFC Saldırıları Hızla Yayılan Tehlike

Siber güvenlik alanında küresel bir otorite olan ESET, HandyPay adlı yasal bir Android uygulamasını kötüye kullanan NGate kötü amaçlı yazılım ailesine ait yeni bir varyantı tespit etti. Önceki NGate saldırılarında kullanılan NFCGate aracının yerini alan bu yeni yazılım, özellikle Brezilya’daki kullanıcıları hedef alırken, NFC temelli saldırılar başka bölgelere, Türkiye dahil olmak üzere yayılmaya başladı.

NFC Teknolojisinin Kötüye Kullanılması ve Yazılımın Özellikleri

NFC (Near Field Communication) teknolojisi, akıllı telefonlar ve temassız kartların kısa mesafeden veri alışverişini mümkün kılar ve genellikle temassız ödeme işlemlerinde kullanılır. NGate’in yeni varyantında, kötü niyetli aktörler NFC verilerini aktarabilen yasal HandyPay uygulamasının kodlarını manipüle etti. Söz konusu kötü amaçlı yazılım, kurbanın ödeme kartıyla ilgili NFC bilgilerini ele geçirip saldırganların cihazlarına aktarmasına olanak sağlıyor; bu sayede temassız ATM çekimleri ve yetkisiz ödemeler gerçekleştirilebiliyor. Yazılım ayrıca kullanıcıların ödeme kartı PIN kodlarını toplayarak komuta kontrol sunucusuna iletebiliyor.

Kötü Amaçlı Kod Üretiminde Yapay Zekâ ve Dağıtım Kampanyası

ESET’in araştırmaları, HandyPay uygulaması üzerinde gerçekleştirilen kötü amaçlı kodun, üretken yapay zekâ araçlarıyla hazırlandığına yönelik işaretler taşıdığını ortaya koydu. Kötü amaçlı yazılım günlüklerinde, yapay zekâ kaynaklı olduğu düşünülen emojiler tespit edildi. Bu durum, siber suçluların yapay zekânın sunduğu kolaylıklardan faydalandığını ve az teknik bilgiye sahip kullanıcıların da etkili kötü amaçlı yazılımlar geliştirilebildiğini göstermektedir. NGate’in yeni varyantının aktif halde olduğu kampanyanın Kasım 2025 civarında başladığı düşünülmektedir. Ayrıca, bu kötü amaçlı sürümün Google Play mağazasında hiçbir zaman yer almadığına dikkat çekilmektedir.

Kampanyanın dağıtımı, Rio de Janeiro eyaletindeki devlet piyangosunu taklit eden bir web sitesi ve sahte Google Play sayfası aracılığıyla gerçekleşiyor. Her iki dağıtım platformu da aynı etki alanında barındırılarak tek bir tehdit aktörünün faaliyet gösterdiği düşünülmektedir. ESET, bulgularını Google’a ve HandyPay uygulamasının geliştiricilerine ileterek durumu bildirmiştir.

NGate operatörlerinin, NFC verilerini aktarmak amacıyla mevcut araçlar yerine HandyPay uygulamasını tercih etmesinin temel sebebi maliyet avantajıdır. Abonelik gerektiren kötü amaçlı yazılım hizmetleri yüzlerce dolar tutarında iken, HandyPay uygulaması bağış esaslı ve aylık yaklaşık 9,99 Euro talep etmektedir. Ayrıca, HandyPay ek izin gerektirmemekte; yalnızca varsayılan ödeme uygulaması olarak ayarlanması yeterli olmaktadır. Bu durum, kötü amaçlı faaliyetlerin fark edilmesini zorlaştırmaktadır.

Bu gelişmeler, NFC tabanlı tehditlerin artışına paralel olarak güvenlik ekosisteminin de evrildiğini göstermektedir. NGate’in önceki sürümleri açık kaynaklı araçlar kullanırken, son varyanta özel ve daha gizli yöntemlerle dağıtım yapıldığı görülmektedir.

Kaynak: BYZHA