NGate Mobile Malware
Els investigadors de ciberseguretat han identificat un nou programari maliciós per a Android capaç de transmetre les dades de pagament sense contacte de les víctimes des de targetes físiques de crèdit i dèbit a un dispositiu controlat pels atacants, permetent transaccions fraudulentes.
Aquest programari maliciós, conegut com NGate, està dirigit principalment a tres bancs de la República Txeca. NGate funciona transferint les dades de la targeta de pagament des del dispositiu Android de la víctima, on s'ha instal·lat una aplicació amenaçadora, al telèfon Android arrelat de l'atacant.
Aquesta operació forma part d'una campanya més àmplia, activa des del novembre de 2023, que s'adreça a les institucions financeres de Txeca mitjançant aplicacions web progressives compromeses (PWA) i WebAPK. La primera instància coneguda de NGate es va detectar el març de 2024.
Taula de continguts
Els actors d'amenaça intenten recollir els detalls de la targeta de pagament
L'objectiu principal d'aquests atacs és clonar dades de comunicació de camp proper (NFC) de les targetes de pagament físiques de les víctimes mitjançant NGate. A continuació, la informació recollida es transmet a un dispositiu controlat per l'atacant, que emula la targeta original per retirar diners d'un caixer automàtic.
NGate es va originar a partir d'una eina legítima anomenada NFCGate, desenvolupada inicialment el 2015 amb finalitats d'investigació de seguretat.
L'estratègia d'atac probablement implica una combinació d'enginyeria social i phishing d'SMS, on els usuaris són enganyats perquè instal·lin NGate al ser redirigits a dominis de curta durada que imiten llocs web bancaris legítims o aplicacions oficials de banca mòbil a Google Play Store.
S'han descobert diverses aplicacions NGate amenaçadores
Entre novembre de 2023 i març de 2024, es van identificar sis aplicacions NGate diferents abans que les activitats s'aturadessin probablement a causa de la detenció d'un jove de 22 anys per part de les autoritats txecs en relació amb el robatori de fons d'ATM.
NGate no només explota la funcionalitat d'NFCGate per capturar i transmetre el trànsit NFC a un altre dispositiu, sinó que també demana als usuaris que introdueixin informació financera sensible, com ara el seu identificador de client bancari, la data de naixement i el PIN de la targeta. Aquesta pàgina de pesca es mostra dins d'una WebView.
A més, l'aplicació indica als usuaris que habilitin la funció NFC als seus telèfons intel·ligents i que subjectin la seva targeta de pagament a la part posterior del dispositiu fins que l'aplicació maliciosa reconegui la targeta.
Els atacants criden a les víctimes per explotar-les encara més
A més, els atacs adopten un enfocament insidios en què les víctimes, després d'haver instal·lat l'aplicació PWA o WebAPK a través d'enllaços enviats a través de missatges SMS, tenen les seves credencials suplantades i, posteriorment, reben trucades de l'actor de l'amenaça, que es fa passar per un empleat del banc i els informa que el seu compte bancari s'havia vist compromès com a resultat de la instal·lació de l'aplicació.
Posteriorment se'ls indica que canviïn el seu PIN i validin la seva targeta bancària mitjançant una aplicació mòbil diferent (és a dir, NGate), un enllaç d'instal·lació a la qual també s'envia per SMS. No hi ha proves que aquestes aplicacions es distribuïssin a través de Google Play Store.
NGate utilitza dos servidors diferents per facilitar les seves operacions. El primer és un lloc web de pesca dissenyat per atraure les víctimes perquè proporcionin informació sensible i capaç d'iniciar un atac de retransmissió NFC. El segon és un servidor de retransmissió NFCGate encarregat de redirigir el trànsit NFC del dispositiu de la víctima al de l'atacant.
