Qendra Kërkimore e firmës së sigurisë kibernetike ESET ka identifikuar një variant të ri të familjes së malware-ve NGate që shfrytëzon një aplikacion legjitim Android të quajtur HandyPay. Sulmuesit modifikuan aplikacionin e transferimit të të dhënave NFC , duke përfshirë kod të dëmshëm që duket se është gjeneruar duke përdorur inteligjencën artificiale.
Ashtu si me versionet e mëparshme të NGate, malware-i u lejon sulmuesve të transferojnë të dhëna NFC nga karta e pagesës së viktimës në pajisjen e tyre dhe t’i përdorin ato për tërheqje parash pa kontakt nga bankomati dhe pagesa të paautorizuara. Ai gjithashtu mund të kapë PIN-et e kartave të pagesës së viktimave dhe t’i dërgojë ato në serverin e komandës dhe kontrollit (C&C) të sulmuesve . Synimet kryesore të këtij malware-i ndodhen në Brazil. Megjithatë, sulmet e bazuara në NFC duket se po zgjerohen në rajone të tjera.
Kodi keqdashës i përdorur për të instaluar trojanin në HandyPay tregon shenja se është krijuar me ndihmën e mjeteve GenAI . Në mënyrë specifike, skedarët e regjistrit përmbajnë një emoji që konsiderohet si një veçori e tekstit të gjeneruar nga IA, gjë që sugjeron përfshirjen e mundshme të modeleve të mëdha gjuhësore (LLM) në krijimin ose modifikimin e tij, megjithëse ende nuk ka prova përfundimtare.
Ky zhvillim, vëren njoftimi përkatës, është pjesë e një trendi më të gjerë, sipas të cilit GenAI lehtëson kriminelët kibernetikë , duke u lejuar edhe njerëzve me aftësi të kufizuara teknike të zhvillojnë programe keqdashëse funksionale.
Qendra Kërkimore ESET vlerëson se fushata e shpërndarjes së malware-it HandyPay filloi në nëntor 2025 dhe mbetet aktive deri më sot. Vlen gjithashtu të përmendet se versioni keqdashës i HandyPay nuk ishte kurrë i disponueshëm në dyqanin zyrtar Google Play. Si partner i Aleancës së Mbrojtjes së Aplikacioneve, ESET ndau gjetjet e tij me Google. Në të njëjtën kohë, ESET kontaktoi zhvilluesit e HandyPay për t’i informuar ata rreth përdorimit keqdashës të aplikacionit të tyre.
