Akıllı telefonlar ve temassız kartlar gibi cihazların çok kısa mesafeden kablosuz olarak veri alışverişi yapmasını sağlayan bir teknoloji olan NFC (Near Field Communication – Yakın Alan İletişimi) günlük hayatta en yaygın olarak temassız ödeme işlemlerinde kullanılıyor.  Tehdit aktörleri, NFC verilerini aktarmak için kullanılan uygulamayı ele geçirdi ve yapay zekâ tarafından üretilmiş gibi görünen kötü amaçlı kodla yamaladı. NGate’in önceki sürümlerinde olduğu gibi, bu kötü amaçlı kod saldırganların kurbanın ödeme kartındaki NFC verilerini kendi cihazlarına aktarmasına ve bunları temassız ATM para çekme işlemleri ve yetkisiz ödemeler için kullanmasına olanak tanıyor. Ayrıca kod, kurbanların ödeme kartı PIN’lerini ele geçirebilir ve bunları operatörlerin C&C sunucusuna aktarabilir.  

HandyPay’i trojanize etmek için kullanılan kötü amaçlı kod, GenAI araçlarının yardımıyla üretilmiş olduğuna dair işaretler gösteriyor. Özellikle, kötü amaçlı yazılım günlükleri, yapay zekâ tarafından üretilen metinlere özgü bir emoji içeriyor; bu da kesin kanıt bulunmamasına rağmen kodun üretilmesinde veya değiştirilmesinde LLM’lerin rol oynadığını düşündürüyor. Bu durum, üretken yapay zekânın siber suçlular için giriş engelini düşürdüğü ve sınırlı teknik beceriye sahip tehdit aktörlerinin işlevsel kötü amaçlı yazılımlar üretmesini sağladığı daha geniş bir eğilime uyuyor.

ESET Research, trojanize edilmiş HandyPay’i dağıtan kampanyanın yaklaşık olarak 2025 yılının Kasım ayında başladığını ve hâlen aktif olduğunu düşünüyor. Ayrıca HandyPay’in kötü amaçlı yamalanmış sürümünün resmî Google Play mağazasında hiçbir zaman bulunmadığına da dikkat çekiliyor. ESET App Defense Alliance ortağı olarak, bulgularını Google ile paylaştı. ESET ayrıca HandyPay geliştiricileriyle iletişime geçerek uygulamalarının kötü amaçlı kullanımı konusunda onları uyardı. 

NFC tehditlerinin sayısı artmaya devam ettikçe bunları destekleyen ekosistem de daha sağlam hâle geldi. İlk NGate saldırıları, NFC verilerinin aktarımını kolaylaştırmak için açık kaynaklı NFCGate aracını kullanıyordu. O zamandan beri, benzer işlevlere sahip birkaç kötü amaçlı yazılım hizmeti (MaaS) satın alınabilir hâle geldi. Ancak bu kampanyada tehdit aktörleri kendi çözümlerini kullanmaya karar vererek mevcut bir uygulamayı, HandyPay’i kötü niyetle yamaladılar.

Yeni NGate varyantını keşfeden ESET araştırmacısı Lukáš Štefanko şu açıklamalarda bulundu: “Bu kampanyanın operatörleri, NFC verilerini aktarmak için yerleşik bir çözümü kullanmak yerine neden HandyPay uygulamasını trojanize etmeye karar verdiler? Cevap basit: Para. Mevcut MaaS kitlerinin abonelik ücretleri yüzlerce dolara ulaşıyor: NFU Pay, ürününü aylık yaklaşık 400 ABD doları karşılığında satarken TX-NFC ise aylık yaklaşık 500 ABD doları istiyor. Öte yandan, meşru HandyPay uygulaması önemli ölçüde daha ucuz ve aylık sadece 9,99 € bağış talep ediyor, o da varsa. Fiyata ek olarak, HandyPay doğal olarak herhangi bir izin gerektirmez, sadece varsayılan ödeme uygulaması olarak ayarlanması yeterlidir; bu da tehdit aktörlerinin şüphe uyandırmamasını sağlar.”

İlk yeni NGate örneği, Rio de Janeiro eyalet piyango kurumu (Loterj) tarafından işletilen bir piyango olan Rio de Prêmios’u taklit eden bir web sitesi aracılığıyla; ikinci NGate örneği ise sahte bir Google Play web sayfası üzerinden “Proteção Cartão” adlı bir uygulama olarak dağıtılıyor. Her iki site de aynı etki alanında barındırılıyordu; bu durum, tek bir tehdit aktörünün iş başında olduğunu kuvvetle işaret ediyor. Kötü amaçlı yazılım, HandyPay hizmetini kötüye kullanarak NFC kart verilerini saldırganın kontrolündeki bir cihaza iletiyor. Kötü amaçlı kod, NFC verilerini iletmenin yanı sıra ödeme kartı PIN’lerini de çalıyor ve böylece tehdit aktörünün kurbanın ödeme kartı verilerini kullanarak ATM’lerden nakit çekmesini sağlıyor.

Temassız tehdit büyüyor, NFC saldırıları yayılıyor yazısı ilk önce En Gazete üzerinde ortaya çıktı.

ESET, daha yüksek kaliteli deepfake’ler, yapay zekâ tarafından oluşturulan kimlik avı sitelerinin belirtileri ve tespit edilmekten kaçınmak için kısa süreli reklam kampanyaları dâhil olmak üzere dolandırıcılık faaliyetlerinde  farklı gelişmeler gözlemledi. 

ESET Research, ESET telemetrisinde görülen, ESET tehdit algılama ve araştırma uzmanlarının bakış açısıyla 2025 yılının Haziran ayından Kasım ayına kadar olan dönemde tehdit ortamındaki eğilimleri özetleyen en son Tehdit Raporunu yayımladı. ESET, anında kötü amaçlı komut dosyaları oluşturabilen, bilinen ilk yapay zekâ destekli fidye yazılımı olan PromptLock’u keşfetti. Yapay zekâ hâlâ çoğunlukla ikna edici kimlik avı ve dolandırıcılık içerikleri oluşturmak için kullanılıyor olsa da PromptLock ve bugüne kadar tespit edilen diğer birkaç yapay zekâ destekli tehdit, yeni bir tehdit çağının başlangıcını işaret ediyor.

ESET Tehdit Önleme Laboratuvarları Direktörü Jiří Kropáč, “Nomani yatırım dolandırıcılıklarının arkasındaki dolandırıcılar da tekniklerini geliştirdiler. Daha yüksek kaliteli deepfake’ler, yapay zekâ tarafından oluşturulan kimlik avı sitelerinin işaretleri ve tespit edilmekten kaçınmak için giderek daha kısa süreli reklam kampanyaları gözlemledik” açıklamasını yaptı. ESET telemetrisinde, Nomani dolandırıcılıklarının tespiti bir önceki yıla göre yüzde 62 arttı ancak bu eğilim 2025’in ikinci yarısında hafifçe azaldı. Nomani dolandırıcılıkları son zamanlarda Meta’dan YouTube dâhil diğer platformlara da yayılmaya başladı. Fidye yazılımı alanında, kurban sayısı yıl sonundan çok önce 2024 toplamını aştı. ESET Research tahminleri, bir önceki yıla göre yüzde 40’lık bir artışa işaret ediyor. Akira ve Qilin şu anda fidye yazılımı hizmet pazarına hakimken düşük profilli yeni gelen Warlock yenilikçi kaçınma teknikleri sundu. EDR katilleri yayılmaya devam etti ve uç nokta tespit ve müdahale araçlarının fidye yazılımı operatörleri için önemli bir engel olmaya devam ettiğini vurguladı.

NFC tehditleri büyümeye devam ediyor

Mobil platformda, NFC tehditleri ölçek ve karmaşıklık açısından büyümeye devam etti. ESET telemetrisinde yüzde 87’lik bir artış ve 2025’in ikinci yarısında birkaç önemli yükseltme ve kampanya gözlemlendi. ESET tarafından ilk kez keşfedilen NFC tehditleri arasında öncü olan NGate, iletişim bilgilerini çalma şeklinde bir güncelleme aldı ve bu da gelecekteki saldırılar için zemin hazırlıyor olabilir. NFC dolandırıcılık sahnesinde tamamen yeni bir kötü amaçlı yazılım olan RatOn, uzaktan erişim trojanı (RAT) yetenekleri ile NFC aktarım saldırılarını nadir görülen bir şekilde bir araya getirerek siber suçluların yeni saldırı yolları arayışındaki kararlılığını gösterdi. RatOn, sahte Google Play sayfaları ve yetişkinlere yönelik TikTok sürümünü taklit eden reklamlar ve bir dijital banka kimlik hizmeti aracılığıyla dağıtıldı.  PhantomCard – Brezilya pazarına uyarlanmış yeni NGate tabanlı kötü amaçlı yazılım – 2025 yılının ikinci yarısında Brezilya’da birçok kampanyada görüldü.

Mayıs ayında küresel çapta ortadan kaybolmasının ardından Lumma Stealer bilgi hırsızı, iki kez kısa süreliğine yeniden ortaya çıktı ancak parlak günleri büyük olasılıkla sona erdi. 2025 yılının ikinci yarısında tespitler, yılın ilk yarısına kıyasla yüzde 86 oranında düştü. Lumma Stealer’ın önemli bir dağıtım vektörü olan ClickFix saldırılarında kullanılan HTML/FakeCaptcha truva atı, ESET telemetrisinden neredeyse tamamen kayboldu.

GuLoader olarak da bilinen CloudEyE, ESET telemetrisine göre neredeyse otuz kat artışla öne çıktı. Kötü amaçlı e-posta kampanyaları yoluyla dağıtılan bu hizmet olarak sunulan kötü amaçlı yazılım indirici ve şifreleyici, fidye yazılımı dâhil olmak üzere diğer kötü amaçlı yazılımları ve Rescoms, Formbook ve Agent Tesla gibi bilgi hırsızlığı devlerini dağıtmak için kullanılıyor. Polonya, bu tehditten en çok etkilenen ülke oldu ve 2025’in ikinci yarısında CloudEyE saldırı girişimlerinin yüzde 32’si burada tespit edildi.

Yapay zekâ yeni bir tehdit çağının fitilini ateşliyor yazısı ilk önce En Gazete üzerinde ortaya çıktı.