Siber güvenlik devi ESET, "NGate" adlı kötü amaçlı yazılım ailesinin yeni ve tehlikeli bir varyantını keşfetti. Yapay zeka yardımıyla geliştirildiği düşünülen bu yeni nesil saldırı, kurbanların temassız kart verilerini kopyalayarak ATM’lerden izinsiz para çekilmesine olanak sağlıyor. Tehdidin yayıldığı ülkeler arasında Türkiye de yer alıyor.

HandyPay Uygulaması "Truva Atı"na Dönüştürüldü

Geçmişteki saldırılarda açık kaynaklı araçlar kullanan siber korsanlar, bu kez strateji değiştirerek HandyPay adlı meşru bir Android uygulamasını hedef aldı. Uygulamanın kodlarını ele geçiren saldırganlar, yazılımı kötü amaçlı kodlarla yamalayarak birer dijital hırsızlık aracına dönüştürdü.

Saldırının İşleyişi: Kartınız Cebinizdeyken Verileriniz Çalınabilir

NFC (Yakın Alan İletişimi) teknolojisini kötüye kullanan NGate yazılımı, şu adımlarla kullanıcıları mağdur ediyor:

Veri Aktarımı: Kurbanın telefonuna sızan yazılım, temassız kart verilerini yakalayarak saldırganın kendi cihazına aktarıyor.

PIN Hırsızlığı: Yazılım sadece kart bilgilerini değil, ödeme kartı PIN kodlarını da ele geçirerek komuta kontrol (C&C) sunucusuna gönderiyor.

ATM’den Nakit Çekimi: Saldırganlar, ele geçirdikleri NFC verilerini kendi telefonlarını "sanal bir kart" gibi kullanarak temassız ATM’lerden para çekmek için kullanıyor.

Yapay Zeka (GenAI) İmzası

ESET araştırmacıları, yazılımın kodlarında dikkat çekici bir detay yakaladı. Kötü amaçlı kodların içinde, yapay zeka (LLM) araçları tarafından üretilen metinlere özgü emojiler ve dil yapıları bulundu. Bu durum, siber suçluların teknik becerileri kısıtlı olsa dahi yapay zeka yardımıyla profesyonel seviyede zararlı yazılım üretebildiğini gösteriyor.

Neden Bu Yöntem Seçildi? "Aylık Sadece 10 Euro"

ESET araştırmacısı Lukáš Štefanko, saldırganların neden bu yolu seçtiğini şu sözlerle açıklıyor:

"Mevcut siber suç kitlerinin aylık abonelik ücretleri 400-500 dolar civarında. Oysa meşru HandyPay uygulaması sadece 9,99 euro gibi çok düşük bir ücretle bu imkanı sağlıyor. Ayrıca uygulama hiçbir şüpheli izin gerektirmiyor, sadece varsayılan ödeme uygulaması olarak ayarlanması yetiyor."

Türkiye’deki Kullanıcılar İçin Kritik Uyarılar

Kasım 2025’ten bu yana aktif olan bu kampanya, sahte Google Play sayfaları ve piyango siteleri üzerinden yayılıyor. ESET, kullanıcıları korumak için şu uyarılarda bulunuyor:

Resmi Mağaza Dışına Çıkmayın: Kötü amaçlı HandyPay sürümü hiçbir zaman resmi Google Play mağazasında yer almadı. Uygulamaları asla web sitelerinden APK olarak indirmeyin.

NFC Ayarlarını Kontrol Edin: Kullanmadığınız zamanlarda telefonunuzun NFC özelliğini kapalı tutun.

Varsayılan Ödeme Uygulamasına Dikkat: Telefonunuz sizden "varsayılan ödeme uygulaması" değiştirme izni isterse çok dikkatli olun.

Güvenlik Yazılımı Kullanın: Cihazınızda güncel bir mobil güvenlik çözümü bulundurun.