보안정보

 

 

NGate 안드로이드 악성코드의 새로운 변종이 발견됐다.

이번 변종은 기존 NFCGate 대신 HandyPay 앱을 악용하는 방식으로 변경됐다.

공격자들이 NFC 데이터 전송에 사용되는 앱을 탈취하여, 인공지능(AI)으로 생성된 것으로 추정되는 악성 코드로 변조한 것이 확인됐다.

이전 NGate 공격과 마찬가지로, 이 악성코드는 사용자의 결제 카드 NFC 데이터를 공격자 기기로 전송한다.

이를 통해 비접촉식 ATM 출금과 무단 결제가 가능해진다.

또한 사용자의 결제 카드 PIN을 수집하는 기능도 포함됐다.

수집된 PIN은 공격자의 명령제어(C2) 서버로 전송된다.

NGate는 NFSkate로도 알려진 악성코드로, 2024년 8월 처음 공개됐다.

사용자의 비접촉 결제 데이터를 탈취하는 릴레이 공격 기능이 특징이다.

이후 또 다른 공격에서는 성인 버전의 TikTok으로 위장한 드로퍼 앱이 사용됐다.

해당 방식으로 NGate를 설치하는 공격이 확인된 바 있다.

이번에 탐지된 최신 버전의 NGate는 브라질 사용자를 주요 대상으로 삼았다.

이는 남미 국가를 특정 표적으로 한 첫 사례로 분석됐다.

트로이목마가 포함된 HandyPay 앱은 리우데자네이루 복권 서비스로 위장한 웹 사이트와 카드 보호 앱으로 위장한 구글 플레이 스토어 등록 페이지를 통해 유포됐다.

[그림 1. NGate 악성코드 유포 및 감염 공격 흐름]

가짜 복권 웹사이트는 사용자에게 상금 수령을 위해 버튼 클릭을 유도한다.

이 과정에서 WhatsApp 메시지 전송이 실행된다. 이후 악성 HandyPay 앱 다운로드로 연결된다.

어떤 유포 방식이 사용되더라도 설치 이후 공통 동작이 수행된다.

해당 앱은 기본 결제 앱으로 설정하도록 요구한다.

이후 사용자는 결제 카드 PIN 번호를 입력하고, NFC 기능이 있는 스마트폰 뒷면에 카드를 접촉하도록 유도된다.

해당 과정이 완료되는 즉시, 악성코드는 HandyPay를 악용하여 NFC 카드 데이터를 탈취한다.

탈취된 데이터는 공격자가 제어하는 장치로 전송된다.

이렇게 탈취한 정보를 이용하여 ATM에서 현금을 인출할 수 있게 된다. 

해당 악성 캠페인은 2025년 11월경 시작된 것으로 분석됐다.

HandyPay의 악성 앱은 공식 앱 스토어에는 등록되지 않았다.

공격자는 앞서 언급한 방법들을 이용하여, 의심하지 않는 사용자들이 앱을 다운로드하도록 유도했다.

정상 앱 개발사는 내부 조사를 진행 중인 것으로 알려졌다.

공격자가 HandyPay를 선택한 이유도 분석됐다.

월 400달러가 넘는 기존 서비스보다 비용이 저렴한 점이 영향을 준 것으로 보인다.

또한 기본적으로 어떤 권한도 요구하지 않고, 기본 결제 앱으로 설정하기만 하면 된다는 구조도 악용됐다. 

해당 아티팩트에 대해 분석한 결과, 디버그 메시지와 토스트 메시지에 이모티콘이 포함된 것이 확인됐다.

이는 대규모 언어 모델(LLM)을 사용하여 소스코드를 생성하거나 수정했을 가능성을 시사한다.

다만 명확한 증거는 확인되지 않았다.

이러한 흐름은 공격자가 기술적 전문 지식이 거의 없거나 전혀 없는 상태에서도 생성형 인공지능(AI)을 이용해 악성코드를 제작하는 최근 추세와 일치한다.

보안 업체는 또 다른 NGate 캠페인이 등장하면서, NFC 기반 금융 사기가 증가하고 있다고 경고했다.

이번에는 공격자들이 NFCGate나 MaaS와 같은 기존 서비스를 사용하는 대신, NFC 중계 기능을 갖춘 HandyPlay 앱에 트로이목마를 심는 방식을 택한 사례로 분석됐다.

출처

https://thehackernews.com/2026/04/ngate-campaign-targets-brazil.html