Hugh_휴 님의 블로그

뉴스30. NGate 캠페인, 브라질을 표적으로 삼아 HandyPay에 트로이목마를 심어 NFC 데이터 및 PIN을 탈취 본문

뉴스 클리핑

뉴스30. NGate 캠페인, 브라질을 표적으로 삼아 HandyPay에 트로이목마를 심어 NFC 데이터 및 PIN을 탈취

Hugh_휴 2026. 4. 28. 09:00

기사 요약: 

최근 브라질 사용자들을 겨냥해 합법적인 결제 앱인 'HandyPay'를 악용하는 NGate(NFSkate) 악성코드의 새로운 변종이 발견되었으며, 이는. 공격자들은 가짜 복권 사이트나 위조된 구글 플레이 스토어 페이지를 통해 피해자가 악성 앱(APK)을 다운로드하도록 유도한다.

 

1. 사이버 보안 연구원들이 'HandyPay'라는 합법적인 앱을 악용하는 NGate 안드로이드 악성코드의 새로운 변종을 발견됐으며, 이전에는 유럽 지역에서 발견되었으나, 이번에는 처음으로 브라질 사용자들을 주요 타겟으로 삼고 있다.

 

2. 공격자들은 NFC 데이터 전송 기능을 가진 앱을 탈취해 악성 코드를 심었으며, 특히 코드 분석 결과, 디버그 메시지에 이모티콘이 포함되는 등 생성형 AI(LLM)를 사용하여 코드를 제작하거나 수정했을 가능성이 제기됐다.

 

3. 이 악성코드는 피해자의 결제 카드 NFC 데이터와 PIN 번호를 가로채며, 탈취된 정보는 공격자의 서버로 전송된다. 공격자는 이를 이용해 자신의 기기로 NFC 데이터를 복제하여 ATM 현금 인출이나 무단 결제에 사용한다.

 

4. 공격자들이 기존의 비싼 전문 솔루션 대신 HandyPay를 선택한 이유는 저렴한 비용과, 사용자에게 별도의 복잡한 권한을 요구하지 않고 기본 결제 앱 설정만으로 작동하여 의심을 덜 사기 때문인 것으로 파악된다.

 

<공격 방법>

https://thehackernews.com/2026/04/ngate-campaign-targets-brazil.html (뉴스 기사에서 퍼옴)

 

배포 단계 (Top): 공격자는 NGate 샘플을 두 가지 경로로 유포했다.

경로 A: 가짜 복권 웹사이트 (좌측):

  1. 피해자가 'Rio de Prêmios'라는 가짜 복권 사이트에 접속한다.
  2. '당첨금 받기(Button to claim prize)' 버튼을 클릭하면 정상적인 WhatsApp이 실행된다.
  3. 가짜 은행 번호로 미리 작성된 메시지가 전송되고, 이를 받은 공격자(Operator)가 피해자에게 악성 앱 다운로드 링크를 보낸다.
  4. 피해자는 복권 앱으로 위장한 변조된 HandyPay 앱을 설치하게 된다.
  5. 경로 B: 가짜 구글 플레이 페이지 (우측):
    1. 피해자가 구글 플레이 스토어와 똑같이 꾸며놓은 가짜 웹페이지에 접속한다.
    2. 카드 보호 앱(Proteção Cartão)으로 위장한 변조된 HandyPay 앱을 직접 다운로드하고 설치한다.

최종 단계:설치된 앱은 피해자에게 카드 PIN 번호 입력을 유도하고, 휴대폰 뒷면에 카드를 대게 하여 NFC 정보를 탈취하며, 이렇게 얻은 정보로 공격자는 ATM에서 돈을 뽑거나 물건을 결제한다.

 

개인 의견:

결국 이 공격은 사용자가 가짜 복권 그리고 구글 페이지에 접속하지 않는다면 발생하지 않는다. 정상적인 경로로 들어가지 않은 사용자 잘못도 있다고 본다. 하지만, 공격자들이 속일 작정을 하고 가짜 사이트를 꾸민다면 결국 당할 수 밖에 없어 보이긴 한다. 또한, 사용자들에게 친숙하고 편리한 앱일 수록 공격자들에게도 그러하다는 점이 인상 깊었다.

 

<용어 정리>

릴레이 공격 (Relay Attack): 피해자의 카드 데이터를 실시간으로 가로채 멀리 떨어진 공격자의 기기로 전달함으로써, 마치 공격자가 현장에서 카드를 사용하는 것처럼 속이는 수법

 

NFC(Near Field Communication, 근거리 무선 통신): 아주 가까운 거리(보통 10cm 이내)에서 기기 간에 데이터를 주고받는 비접촉식 통신 기술

 

HandyPay: NFC(근거리 무선 통신) 기술을 활용해 결제나 데이터 전송을 도와주는 정상적인 합법 애플리케이션. 주로 소상공인이나 개인이 자신의 스마트폰을 결제 단말기처럼 사용하거나, NFC 데이터를 관리할 때 사용하는 도구

 

디버그 메시지: 개발자가 프로그램을 만드는 과정에서 코드의 동작 상태를 확인하기 위해 남기는 메모

 

토스트 메시지: 안드로이드 운영체제에서 화면 하단에 잠깐 나타났다가 사라지는 작은 알림창

 

NFCGate: 보안 연구원들이 NFC 통신의 취약점을 테스트하기 위해 만든 안드로이드 기반의 오픈소스 도구

 

MaaS(Malware-as-a-Service): 해커들이 악성코드를 제작해서 다른 범죄자들에게 빌려주거나 판매하는 비즈니스 모델

 

뉴스 링크: https://thehackernews.com/2026/04/ngate-campaign-targets-brazil.html

'뉴스 클리핑' 카테고리의 다른 글

뉴스32. 안전한 데이터 이동이 제로 트러스트에서 아무도 언급하지 않는 병목 현상인 이유는 무엇일까요?  (0) 2026.04.30
뉴스31. 취약점 진단 도구 ‘Nessus’의 역습... 윈도우 에이전트에서 보안 결함 노출  (2) 2026.04.29
뉴스29. 해킹조직 블랙파일, 콜센터처럼 속여 기업 계정 탈취…유통·호텔업계 겨냥한 공격 확산  (1) 2026.04.27
뉴스28. 미라이 변종, 디링크 공유기 대규모 공격...패치 없는 취약점 악용 시작  (0) 2026.04.24
뉴스27. 앤트로픽의 방관 속 기하급수적으로 번지는 ‘MCP’ 공급망 보안 위협  (0) 2026.04.23
'뉴스 클리핑' Related Articles more