حملة NGate تستهدف البرازيل: تطبيق HandyPay مُعدل لسرقة بيانات NFC والرقم السري

كشف باحثون في الأمن السيبراني عن نسخة جديدة من برمجية خبيثة تستهدف أجهزة أندرويد تُعرف باسم NGate، حيث تم استغلال تطبيق شرعي يُدعى HandyPay بعد تعديله ليصبح أداة لسرقة بيانات بطاقات الدفع عبر تقنية NFC.

وأوضح الباحث Lukáš Štefanko من شركة ESET أن المهاجمين قاموا بإدخال كود خبيث داخل التطبيق، يُرجح أنه تم إنشاؤه باستخدام تقنيات الذكاء الاصطناعي، ما يسمح بنقل بيانات NFC من بطاقة الضحية إلى جهاز المهاجم، واستخدامها في عمليات سحب نقدي من أجهزة الصراف الآلي أو تنفيذ مدفوعات غير مصرح بها.

سرقة البيانات والرقم السري

لا يقتصر الهجوم على نقل بيانات البطاقة فقط، بل يمكن للبرمجية أيضًا التقاط الرقم السري (PIN) الخاص بالبطاقة وإرساله إلى خوادم التحكم التابعة للمهاجمين (C2)، ما يزيد من خطورة الهجوم بشكل كبير.

تطور مستمر للتهديد

تم توثيق NGate لأول مرة في عام 2024، حيث كان يعتمد على هجمات “Relay” لسرقة بيانات الدفع بدون تلامس. وفي عام 2025، كشفت شركة ThreatFabric عن حملة مشابهة استخدمت تطبيقات مزيفة للترويج لمحتوى ترفيهي لنشر البرمجية.

أما الحملة الجديدة، فهي تركز بشكل أساسي على المستخدمين في Brazil، وتُعد أول حملة من هذا النوع تستهدف هذا البلد بشكل مباشر.

أساليب خداع المستخدمين

يتم توزيع التطبيق الخبيث عبر مواقع مزيفة تدّعي تقديم جوائز يانصيب، مثل “Rio de Prêmios”، حيث يُطلب من المستخدم إرسال رسالة عبر WhatsApp للمطالبة بالجائزة، ليتم بعدها توجيهه لتحميل نسخة مزورة من التطبيق.

وفي حالات أخرى، يتم إنشاء صفحات وهمية تشبه متجر Google Play Store لإقناع المستخدمين بتنزيل التطبيق على أنه أداة لحماية البطاقات.

آلية تنفيذ الهجوم

بعد تثبيت التطبيق، يُطلب من المستخدم:

• تعيين التطبيق كخيار افتراضي للدفع
• إدخال الرقم السري للبطاقة
• تمرير البطاقة خلف الهاتف (NFC)

وبمجرد تنفيذ هذه الخطوات، يتم اعتراض بيانات البطاقة وإرسالها إلى المهاجم، الذي يمكنه استخدامها فورًا في عمليات احتيالية.

لماذا HandyPay؟

أشارت ESET إلى أن اختيار تطبيق HandyPay جاء لعدة أسباب، منها انخفاض تكلفته مقارنة بأدوات أخرى، إضافة إلى أنه لا يطلب أذونات كثيرة، بل يكتفي بأن يكون تطبيق الدفع الافتراضي، ما يقلل من الشكوك لدى المستخدم.

الذكاء الاصطناعي في تطوير البرمجيات الخبيثة

أظهر تحليل الكود وجود رموز تعبيرية داخل رسائل النظام، ما يشير إلى احتمال استخدام نماذج ذكاء اصطناعي في كتابة أو تعديل الكود، وهو اتجاه متزايد في عالم الجرائم الإلكترونية.

تحذير أمني

أكدت ESET أن هذا النوع من الهجمات يعكس تزايد عمليات الاحتيال عبر تقنية NFC، مشيرة إلى أن المهاجمين بدأوا في الابتكار بدلًا من الاعتماد على أدوات جاهزة، من خلال تعديل تطبيقات شرعية وتحويلها إلى أدوات اختراق.

الخلاصة:

الحملة الجديدة تمثل تطورًا خطيرًا في استغلال تطبيقات الدفع، حيث يتم خداع المستخدمين لتثبيت تطبيقات تبدو شرعية، بينما تقوم فعليًا بسرقة بيانات بطاقاتهم وأموالهم. لذلك يُنصح بعدم تحميل التطبيقات إلا من مصادر موثوقة، وتجنب إدخال بيانات حساسة في أي تطبيق غير رسمي.