ESET, daha önce kullanılan NFCGate aracının yerini alan yeni bir saldırı modeline dikkat çekti. Şirketin bulgularına göre, NGate kötü amaçlı yazılım ailesinin yeni varyantı bu kez HandyPay adlı meşru bir Android uygulamasını kötüye kullanıyor. İlk hedefin Brezilya’daki kullanıcılar olduğu belirtilirken, NFC tabanlı saldırıların Türkiye’nin de aralarında bulunduğu yeni ülkelere yayıldığı vurgulanıyor.
Yakın Alan İletişimi olarak bilinen NFC teknolojisi, özellikle akıllı telefonlar ve temassız kartlar arasında kısa mesafeli veri aktarımını mümkün kıldığı için günlük yaşamda en sık temassız ödemelerde kullanılıyor. Ancak ESET’in araştırması, bu teknolojinin siber saldırganlar açısından da yeni bir istismar alanına dönüştüğünü ortaya koyuyor.
NGate, meşru uygulamayı kötü amaçlı araca çevirdi
Araştırmaya göre tehdit aktörleri, NFC verilerinin aktarımında kullanılan HandyPay uygulamasını ele geçirerek kötü amaçlı kodla yamaladı. Bu sayede saldırganlar, kurbanın ödeme kartındaki NFC verilerini kendi cihazlarına aktarabiliyor. Elde edilen veriler daha sonra temassız ATM para çekme işlemlerinde ve yetkisiz ödemelerde kullanılabiliyor.
Yeni varyantın bir diğer kritik yönü ise ödeme kartı PIN bilgilerinin de ele geçirilebilmesi. ESET, kötü amaçlı kodun bu verileri saldırganların komuta kontrol sunucusuna iletebildiğini belirtiyor. Bu yapı, yalnızca veri hırsızlığıyla sınırlı kalmayan, doğrudan finansal kayba yol açabilecek daha organize bir saldırı modeline işaret ediyor.
Yapay zeka izi taşıyan kod dikkat çekti
ESET’in öne çıkardığı bir başka unsur ise HandyPay’i trojanize etmek için kullanılan kodun, üretken yapay zeka araçlarının yardımıyla hazırlanmış olabileceğine dair işaretler taşıması. Kötü amaçlı yazılım günlüklerinde, yapay zeka üretimi metinlerde sık görülen bazı kalıpların ve bir emojinin yer alması, kodun geliştirilmesi ya da düzenlenmesi sırasında büyük dil modellerinden yararlanılmış olabileceği ihtimalini gündeme taşıyor.
Kesin teknik kanıt paylaşılmasa da bu bulgu, siber suç ekosisteminde üretken yapay zeka kullanımının giderek daha görünür hale geldiğini gösteriyor. Böylece teknik kapasitesi sınırlı tehdit aktörlerinin daha işlevsel ve daha düşük maliyetli zararlı yazılımlar üretme eşiği de aşağı çekiliyor.
Saldırı modeli ucuz, sessiz ve ölçeklenebilir ilerliyor
ESET Research, trojanize edilmiş HandyPay’in dağıtıldığı kampanyanın yaklaşık olarak Kasım 2025 döneminde başladığını ve halen aktif olduğunu değerlendiriyor. Şirket ayrıca kötü amaçlı sürümün resmî Google Play mağazasında hiçbir zaman yer almadığını belirtiyor. Bulguların Google ile paylaşıldığı, HandyPay geliştiricilerinin de kötüye kullanım konusunda bilgilendirildiği ifade ediliyor.
Araştırmada, önceki NGate saldırılarında açık kaynaklı NFCGate aracının kullanıldığı, son dönemde ise benzer işlevler sunan çeşitli kötü amaçlı yazılım hizmetlerinin pazarda satılmaya başladığı aktarılıyor. Ancak bu kampanyada tehdit aktörlerinin hazır saldırı kitleri yerine, maliyet avantajı nedeniyle mevcut bir uygulamayı kötü niyetli biçimde yamalamayı tercih ettiği görülüyor.
ESET araştırmacısı Lukáš Štefanko, bu tercihın arkasında doğrudan maliyet faktörünün bulunduğunu vurguluyor. Mevcut kötü amaçlı yazılım servislerinin aylık yüzlerce dolarlık abonelik ücretleri talep ettiğini belirten Štefanko, HandyPay’in çok daha düşük maliyetli bir seçenek sunmasının saldırganlar açısından cazip bir yol açtığını ifade ediyor. Ayrıca uygulamanın ek izin gerektirmemesi ve yalnızca varsayılan ödeme uygulaması olarak ayarlanmasının yeterli olması, saldırıların daha az dikkat çekmesine zemin hazırlıyor.
Sahte siteler ve sahte uygulamalarla yayılıyor
ESET’in tespitlerine göre yeni NGate örneklerinden biri, Rio de Janeiro eyalet piyangosu Rio de Prêmios’u taklit eden bir site üzerinden dağıtıldı. İkinci örnek ise sahte bir Google Play sayfasında “Proteção Cartão” adlı uygulama görünümüyle kullanıcılara sunuldu. Her iki sitenin aynı etki alanında barındırılması, kampanyanın arkasında tek bir tehdit aktörünün bulunabileceği ihtimalini güçlendiriyor.
Sistem, HandyPay hizmetini kötüye kullanarak kart verilerini saldırganın kontrol ettiği cihaza iletiyor. Kart verileri ile birlikte PIN bilgisinin de ele geçirilmesi, tehdit aktörlerine ATM üzerinden nakit çekim dahil daha geniş bir saldırı alanı açıyor. Bu tablo, temassız ödeme altyapısının kullanıcı deneyimi kadar güvenlik boyutunun da yeniden ele alınmasını zorunlu hale getiriyor.
Temassız ödeme sistemleri fintek ekosisteminin en görünmez ama en kritik yapı taşlarından biri haline geldi. Bu yüzden NFC tabanlı saldırıların Türkiye’ye kadar yayılması, yalnızca bir siber güvenlik haberi olarak okunmamalı; aynı zamanda dijital ödeme altyapısına yönelik güven ilişkisinin sınandığı yeni bir dönem olarak değerlendirilmeli. Burada asıl dikkat çeken nokta, saldırganların pahalı saldırı kitleri yerine ucuz, meşru ve şüphe çekmeyen uygulamaları istismar eden daha esnek bir model kurmuş olması. Yapay zeka destekli kötü amaçlı kod ihtimali de bu tabloya eklendiğinde, fintek tarafında güvenlik yatırımlarının artık yalnızca kurumsal sistemleri değil, kullanıcı cihazı katmanını da çok daha yakından kapsaması gerekiyor.
