ظهرت سلالة جديدة وأكثر خطورة من برمجيات التجسس المعروفة باسم NGate، حيث تم اكتشافها وهي مختبئة داخل تطبيق مدفوعات يعتمد على تقنية الاتصال قريب المدى (NFC) تم اختراقه. ويشير هذا التطور إلى استخدام محتمل للذكاء الاصطناعي في تطوير هذه الأدوات الخبيثة.
وفقًا لخبراء الأمن السيبراني، فإن هذه البرمجية الخبيثة تستهدف مستخدمي نظام أندرويد عبر انتحال شخصية تطبيق HandyPay الشرعي. التطبيق الذي تم اختراقه، قام المهاجمون بتعديله وإعادة توزيعه خارج متجر Google Play الرسمي، ليبدأ بعدها في جمع بيانات بطاقات الدفع عبر تقنية NFC وإرسالها إلى جهات خارجية.
NGate الجديدة: تحديات أمنية في المدفوعات الرقمية
تُعد سلالة NGate الحديثة تطورًا للقلق في مجال الأمن الرقمي، حيث إنها تتخفى بذكاء داخل تطبيقات تبدو آمنة. التطبيق الأصلي، HandyPay، هو تطبيق شرعي متاح على Google Play منذ عام 2021، ويُستخدم عادةً لتسهيل نقل بيانات NFC بين الأجهزة لأغراض الاستخدام اليومي.
ولكن، قام المهاجمون بتعديل هذا التطبيق وإضافة الشيفرة الخبيثة إليه، ثم بدأوا في توزيعه. بمجرد تثبيت النسخة المخترقة على هاتف المستخدم، تبدأ في قراءة بيانات بطاقات الدفع المخزنة، مما يسمح للمهاجمين بشن عمليات شراء غير مصرح بها أو سحب أموال من أجهزة الصراف الآلي.
آلية عمل البرمجية الخبيثة
لأول وهلة، لا تبدو عملية التثبيت أو طلب الأذونات مثيرة للشبهات. فالتطبيق المخترق يطلب أن يتم تعيينه كتطبيق افتراضي لمعالجة مدفوعات NFC، وهو أمر طبيعي بالنسبة لتطبيقات من هذا النوع. بعد ذلك، يطلب من المستخدم إدخال رقم التعريف الشخصي (PIN) لبطاقته، ثم وضع البطاقة الفعلية خلف الهاتف.
في هذه المرحلة، تقوم البرمجية الخبيثة بقراءة بيانات بطاقة الـ NFC وإرسالها عبر خدمة HandyPay إلى جهاز المهاجم، والذي يكون مرتبطًا بعنوان بريد إلكتروني ثابت داخل التطبيق. ما يجعل هذه السلالة خطيرة بشكل خاص هو أنها لا تتطلب أذونات خاصة إضافية على جهاز الضحية لتمرير بيانات NFC، مما يجعلها تتجاوز إجراءات الأمان القياسية.
علاوة على ذلك، يمكن للبرمجية الخبيثة استخلاص رقم التعريف الشخصي (PIN) الخاص ببطاقة الدفع وإرساله إلى خادم القيادة والتحكم (C2) الخاص بالمهاجمين عبر بروتوكول HTTP. هذه المعلومات الكاملة تمنح المهاجمين القدرة على إجراء عمليات دفع غير تلامسية وسحب نقدي من أجهزة الصراف الآلي.
استخدام الذكاء الاصطناعي في تطوير الشيفرة
أشار محللو WeLiveSecurity، الذين اكتشفوا هذه السلالة الجديدة، إلى أن الشيفرة الخبيثة تظهر علامات واضحة على استخدام الذكاء الاصطناعي في تطويرها. وقد تضمنت بعض الإدخالات ترك رموز تعبيرية (emojis) في سجلات الأخطاء، وهي سمة شائعة في النصوص التي تولدها نماذج اللغة الكبيرة.
من جانب آخر، لوحظ أن حملة NGate الخبيثة هذه مستمرة منذ نوفمبر 2025، وتستهدف بشكل نشط مستخدمي نظام أندرويد في البرازيل. ويتم الترويج للتطبيق المخترق عبر قناتين رئيسيتين للتوزيع.
قنوات التوزيع والانتشار
تستخدم القناة الأولى موقعًا وهميًا لليانصيب، ينتحل شخصية منظمة يانصيب حكومية برازيلية. ويعرض الموقع لعبة خدش حيث يفوز المستخدم دائمًا بجائزة مالية، ثم يوجهه إلى إرسال رسالة عبر واتساب للمطالبة بالجائزة، ليتم بعدها توجيهه لتنزيل التطبيق الخبيث.
أما القناة الثانية، فهي عبارة عن صفحة مزيفة على متجر Google Play، تقوم بتوزيع البرمجية الخبيثة تحت اسم Protecao Cartao، والتي تعني “حماية البطاقة” باللغة الإنجليزية. وتشترك كلتا القناتين في نفس نطاق الاستضافة، مما يشير بقوة إلى وجود جهة مهاجمة واحدة تقف وراء العملية بأكملها.
توصيات للحماية
نصح خبراء الأمن المستخدمين بتنزيل تطبيقات الدفع فقط من المصادر الرسمية مثل Google Play Store، وتجنب تثبيت التطبيقات من مواقع طرف ثالث أو عبر روابط مشبوهة. كما أن تفعيل ميزة Google Play Protect على أجهزة أندرويد يوفر حماية إضافية، حيث يمكنها اكتشاف الإصدارات المعروفة من هذه البرمجية الخبيثة تلقائيًا.
ويجب على المستخدمين عدم إدخال رقم التعريف الشخصي لبطاقاتهم في أي تطبيق جديد أو غير مألوف، خاصة تلك التي تدعي تقديم جوائز أو حماية للبطاقات. وفي حال طلب تطبيق دفع أذونات غير عادية أو جاء من مصدر غير موثوق، ينبغي إلغاء تثبيته فورًا والإبلاغ عن الحادثة للبنك أو الجهة المصدرة للبطاقة.