Dijital dünyada güvenlik dendiğinde akla gelen ilk isimlerden biri olan ESET, siber suçluların temassız ödeme yöntemlerini suistimal etmek için geliştirdikleri yeni ve sinsi bir yöntemi gün yüzüne çıkardı. ESET araştırmacılarının tespit ettiği NGate kötü amaçlı yazılım ailesinin yeni bir varyantı, günlük hayatın vazgeçilmezi haline gelen NFC (Yakın Alan İletişimi) teknolojisini doğrudan hedef alıyor.
İlk olarak Brezilya'da ortaya çıkan bu tehdit, sanılanın aksine yerel kalmayıp küresel bir boyuta ulaştı. ESET'in raporuna göre, NGate'in radarına giren yeni bölgeler arasında Türkiye de yer alıyor. Bu durum, Türkiye'deki Android kullanıcıları için ciddi bir finansal risk oluşturuyor.
HandyPay Uygulaması Kötüye Kullanılıyor
NGate'in bu yeni sürümü, siber saldırganların tekniklerini nasıl geliştirdiğini gözler önüne seriyor. Tehdit aktörleri, daha önce kullanılan açık kaynaklı araçlar yerine, bu kez HandyPay adında meşru, yasal bir Android uygulamasını hedef seçti.
HandyPay, normal şartlarda NFC veri aktarımı için kullanılan zararsız bir uygulama. Ancak saldırganlar, bu uygulamanın kodlarını ele geçirerek içine kötü amaçlı yazılım yamaladılar. Bu sayede, kullanıcılar cihazlarına güvenilir bir uygulama yüklediklerini düşünürken, aslında banka hesaplarını tehlikeye atan bir Truva Atı (Trojan) yüklemiş oluyorlar.
Yapay Zeka (GenAI) Kötü Amaçlı Kod Üretiminde Devrede
ESET uzmanlarının yaptığı incelemeler, NGate'in HandyPay'e entegre edilen kötü amaçlı kodlarında çarpıcı bir detayı ortaya koydu. Kod yapısı ve yazılım günlüklerinde (logs) bulunan belirli emojiler, bu kodların Üretken Yapay Zeka (GenAI) araçları veya Büyük Dil Modelleri (LLM) yardımıyla oluşturulmuş ya da değiştirilmiş olabileceğine dair güçlü işaretler taşıyor.
Bu bulgu, siber suç dünyasında endişe verici bir trendi doğruluyor: Yapay zeka, teknik becerisi sınırlı olan siber korsanların bile karmaşık ve işlevsel kötü amaçlı yazılımlar üretmesini sağlayan bir araç haline geliyor.
NGate Nasıl Çalışıyor ve Amaçları Ne?
NGate, trojanize edilmiş HandyPay uygulaması aracılığıyla kurbanın akıllı telefonundaki NFC çipini kontrol altına alıyor. Saldırganların ana hedefleri şunlar:
-
NFC Veri Hırsızlığı: Kurban, temassız ödeme kartını (kredi veya banka kartı) telefonuna yaklaştırdığında, NGate kartın NFC verilerini anında kopyalıyor.
-
Veri Aktarımı: Kopyalanan bu hassas NFC verileri, saldırganın kontrolündeki uzak bir C&C (Komuta ve Kontrol) sunucusuna veya doğrudan saldırganın kendi cihazına aktarılıyor.
-
Yetkisiz ATM Para Çekme: Saldırganlar, ele geçirdikleri NFC verilerini kendi NFC özellikli cihazlarına yükleyerek, kurbanın fiziksel kartına ihtiyaç duymadan temassız ATM'lerden nakit para çekebiliyor.
-
Kart PIN'ini Ele Geçirme: Kötü amaçlı kod, kurbanın ödeme işlemi sırasında girdiği kart PIN kodunu da kaydedip saldırganlara iletebiliyor.
Kampanya Aktif ve Google Play'de Hiç Bulunmadı
ESET Research, HandyPay'i kötü amaçlı olarak dağıtan siber saldırı kampanyasının yaklaşık Kasım 2025 yılında başladığını ve halen aktif olarak devam ettiğini tahmin ediyor. Araştırmacılar, HandyPay'in bu kötü amaçlı yamalanmış sürümünün resmî Google Play mağazasında hiçbir zaman bulunmadığının altını çiziyor.
Kullanıcılar bu yazılımı, genellikle sahte web siteleri veya kimlik avı (phishing) mesajları yoluyla mağaza dışı kaynaklardan (APK olarak) indirmeye yönlendiriliyor. ESET, bulgularını Google ile paylaştı ve HandyPay geliştiricilerini de uygulamalarının kötü niyetli kullanımı konusunda uyardı.
Neden Mevcut Araçlar Değil de HandyPay?
Yeni NGate varyantını keşfeden ESET araştırmacısı Lukáš Štefanko, saldırganların neden HandyPay'i seçtiğini şu sözlerle açıklıyor:
“Mevcut Kötü Amaçlı Yazılım Hizmeti (MaaS) kitlerinin abonelik ücretleri oldukça yüksek. Örneğin, 'NFU Pay' aylık yaklaşık 400 ABD doları, 'TX-NFC' ise aylık 500 ABD doları civarında. Öte yandan, meşru HandyPay uygulaması siber suçlular için neredeyse maliyetsiz; sadece 9,99 € gibi küçük bir bağış talep ediyor, o da varsa.”
Štefanko, maliyetin yanı sıra HandyPay'in doğal yapısının da avantaj sağladığını belirtiyor: “HandyPay, varsayılan ödeme uygulaması olarak ayarlandığında ek bir izin gerektirmiyor, bu da kurbanın şüphelenmesini engelliyor.”
Sahte Web Sitelerine Dikkat
Saldırganlar, NGate'i yaymak için inandırıcı yöntemler kullanıyor. Tespit edilen örneklerden biri, Rio de Janeiro eyalet piyangosunu (Rio de Prêmios) taklit eden sahte bir web sitesi üzerinden dağıtılıyor. Bir diğer örnek ise doğrudan sahte bir Google Play web sayfası üzerinden “Proteção Cartão” (Kart Koruması) adlı sahte bir uygulama olarak sunuluyor. Her iki sitenin de aynı etki alanında barındırılması, saldırıların arkasında organize tek bir tehdit aktörünün olduğunu gösteriyor.
