複数ライセンス割引見積
脅威データベース モバイルマルウェア NGateの悪質なキャンペーン

NGateの悪質なキャンペーン

モバイルマルウェアMezoまで
翻訳内容:

サイバーセキュリティアナリストは、NGateとして知られるAndroidマルウェアファミリーの新たな亜種を特定しました。この亜種は、NFCGateに依存するのではなく、HandyPayという正規のアプリケーションを悪用するようになっています。この進化は、攻撃者の戦略の変化を浮き彫りにしています。攻撃者は、信頼できるツールを活用することで、悪意のある活動の有効性と隠蔽性を高めているのです。

攻撃者たちは、もともとNFCデータの中継用に設計されたアプリケーションであるHandyPayに悪意のあるコードを注入することで、アプリを改変した。このコードの一部は人工知能を用いて生成された可能性が示唆されている。

以前のNGateの亜種と同様に、この改変されたアプリケーションは、攻撃者が被害者の決済カードからNFCデータを傍受し、自身が制御するデバイスに転送することを可能にします。盗まれたデータは、その後、非接触型ATM引き出しや不正取引に悪用されます。

このマルウェアは、データ傍受に加えて、被害者の決済カードの暗証番号を傍受し、遠隔地のコマンド&コントロール(C2)サーバーに送信する機能も備えており、金銭的な被害を受けるリスクを大幅に高めます。

NFSkateからRatOnまで:マルウェアの拡大する戦略

NGate(NFSkateとも呼ばれる)は、2024年8月に研究者らが非接触型決済データを不正利用目的で収集するNFCリレー攻撃を実行する能力を実証したことで初めて公に知られるようになった。その後、その攻撃手法と運用戦術は進化を遂げている。

2025年までに、RatOnと呼ばれる関連キャンペーンが、TikTokの成人向けバージョンを装ったドロッパーアプリを導入した。これらの欺瞞的なアプリは、 NGateの展開やNFCリレー攻撃の実行に使用され、ソーシャルエンジニアリング技術の高度化が示された。

ブラジルに注目:標的を絞ったキャンペーンが浮上

今回のNGate攻撃キャンペーンは、地理的なターゲット設定において顕著な変化を示しており、ブラジルのユーザーを主な標的としている。これは、マルウェアが南米のユーザー向けに特化して作成されたことが確認された初めての事例となる。

配布方法は欺瞞に大きく依存している。攻撃者は、リオデジャネイロ州宝くじ機構が運営する宝くじ「リオ・デ・プレミオス」を装った偽ウェブサイトや、偽のカード保護アプリを宣伝する不正なGoogle Playストアページを利用している。これらの手段は、ユーザーを騙してHandyPayの改ざん版をダウンロードさせることを目的としている。

感染連鎖:被害者はいかにして操られるか

この攻撃手順は、綿密に計画されたソーシャルエンジニアリングとユーザーとのやり取りに依存している。

  • 被害者は偽の宝くじウェブサイトに誘導され、賞金を受け取るためにWhatsAppメッセージを送信するように促される。
  • ユーザーは、トロイの木馬が仕込まれたHandyPayのダウンロードページにリダイレクトされます。
  • アプリケーションはインストール時にデフォルトの支払いアプリとして設定されることを要求します。
  • 被害者は、支払いカードの暗証番号を入力し、カードを端末にかざすように指示される。
  • NFCデータはリアルタイムで取得され、攻撃者が制御するデバイスに転送される。

    • いったん実行されると、攻撃者は盗んだ認証情報を使用して、不正なATM引き出しや決済取引を実行できるようになります。

    ステルス性と戦略:HandyPayが選ばれた理由

    2025年11月頃に始まったとみられるこのキャンペーンは、ツールの意図的な変更を示している。悪意のあるHandyPayは公式のGoogle Playストアを通じて配布されたことは一度もなく、攻撃者が完全に欺瞞的な配信手法に依存していることが確認できる。
    HandyPayを悪用するという決定には、いくつかの要因が影響したと考えられる。他のソリューションは月額400ドルを超えることが多いのに対し、HandyPayは利用料金が安いため、攻撃者にとって経済的な選択肢となる。さらに、このアプリケーションは特別な権限を必要とせず、デフォルトの決済アプリとして設定するだけで済む。これにより、疑念を抱かれにくくなり、インストールが成功する可能性が高まる。

    HandyPayは、プラットフォームの悪用を受けて、社内調査を開始しました。

    マルウェア開発におけるAI:高まる懸念

    マルウェアの技術分析により、デバッグメッセージやシステムメッセージに絵文字が含まれているなど、異常な要素が明らかになった。この異常は、悪意のあるコードの生成または改変に大規模な言語モデルが関与している可能性を示唆している。

    AIが原因であると断定することはまだできないものの、今回の調査結果は、サイバー犯罪者がマルウェア開発を効率化するために生成型人工知能をますます活用するという、より広範な業界動向と一致している。これにより参入障壁が低くなり、技術的な専門知識が限られている個人でも高度な脅威を作成できるようになる。

    脅威の高まり:NFC詐欺が増加傾向

    この新たなNGate亜種の出現は、NFCを利用した金融詐欺の傾向が強まっていることを示している。攻撃者は、NFCGateやマルウェア・アズ・ア・サービス(MaaS)プラットフォームといった既存のツールに頼るのではなく、NFC機能を内蔵した正規のアプリケーションを悪用するようになっている。

    この手法は、運用効率と回避能力の両方を向上させるものであり、モバイル脅威戦術における憂慮すべき進化を示しており、モバイル決済セキュリティにおける警戒強化の必要性を改めて強調するものである。


    トレンド

    SnappyClientマルウェア

    マルウェア, リモート管理ツール
    SnappyClientは、C++で記述された高度なマルウェアであり、HijackLoaderと呼ばれるローダーを介して配布されます。リモートアクセス型トロイの木馬(RAT)として機能し、サイバー犯罪者が侵害されたシステムを乗っ取り、機密データを抜き取ることを可能にします。デバイスに侵入すると、マルウェアはコマンド&コントロール(C2)サーバーに接続し、指示を受信して悪意のある操作を実行しま...

    Forestrievic.com

    不正なウェブサイト, アドウェア, ブラウザハイジャッカー
    安全にインターネットを閲覧するには、常に警戒を怠らないことが重要です。悪質なウェブサイトは、ユーザーの信頼を悪用する巧妙な手口で設計されており、近年ますます一般的になっているのが偽のCAPTCHA認証です。これらの認証画面は、訪問者に「許可」ボタンをクリックさせ、ロボットではないことを証明させようとします。しかし実際には、クリックすることで、サイト側が迷惑なプッシュ通知を送信する権限を与えて...

    新しいプライバシーセキュリティアップデートメール詐欺を確認する

    フィッシング, スパム
    緊急対応を求める予期せぬメールには、常に注意を払う必要があります。サイバー犯罪者は、信頼を悪用しパニックを引き起こすために、悪意のあるメッセージを正規の通知に見せかけることがよくあります。「新しいプライバシーセキュリティアップデートを確認してください」といった詐欺メールは、どれほど公式に見えても、いかなる正当な企業、組織、団体とも関係がないことを認識することが重要です。 「プライバシーセキュリティアップデート」詐欺の詳細検証 セキュリティ分析の結果、これらのメッセージは受信者を悪意のあるウェブサイトに誘導するために仕組まれた、不正なアカウント停止警告であることが確認されました。これらは、...

    最も見られました

    「プリンタドライバが利用できません」エラーを修正する方法

    問題
    33,415
    プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
    画面を共有するとDiscordが黒い画面を表示するスクリーンショット

    画面を共有するとDiscordが黒い画面を表示する

    問題
    28,614
    最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

    Eporner.com

    問題
    22,306
    インターネットは、役立つコンテンツ、エンターテイメント、そして情報で溢れる広大な空間ですが、同時に危険な側面も存在します。番組のストリーミング再生、アプリのダウンロード、アダルトコンテンツプラットフォームの利用など、どんな場面でも常に警戒を怠らないことが重要です。多くのサイト、特に積極的な広告で運営されているサイトは、深刻なセキュリティリスクをもたらす可能性があります。懸念されているサイトの...
    読み込んでいます...