Malware mobile NGate
I ricercatori di sicurezza informatica hanno identificato un nuovo malware per Android in grado di trasmettere i dati dei pagamenti contactless delle vittime da carte di credito e di debito fisiche a un dispositivo controllato dagli aggressori, consentendo transazioni fraudolente.
Questo malware, noto come NGate, prende di mira principalmente tre banche nella Repubblica Ceca. NGate funziona trasferendo i dati delle carte di pagamento dal dispositivo Android della vittima, su cui è installata un'applicazione minacciosa, al telefono Android con rooting dell'aggressore.
Questa operazione fa parte di una campagna più ampia, attiva da novembre 2023, che prende di mira gli istituti finanziari in Repubblica Ceca tramite applicazioni Web progressive (PWA) e WebAPK compromesse. La prima istanza nota di NGate è stata rilevata a marzo 2024.
Sommario
Gli attori della minaccia cercano di raccogliere i dettagli delle carte di pagamento
L'obiettivo principale di questi attacchi è clonare i dati di near-field communication (NFC) dalle carte di pagamento fisiche delle vittime utilizzando NGate. Le informazioni raccolte vengono quindi trasmesse a un dispositivo controllato dall'aggressore, che emula la carta originale per prelevare denaro da un bancomat.
NGate ha origine da uno strumento legittimo chiamato NFCGate, inizialmente sviluppato nel 2015 per scopi di ricerca sulla sicurezza.
La strategia di attacco prevede probabilmente un mix di ingegneria sociale e phishing tramite SMS, in cui gli utenti vengono ingannati e indotti a installare NGate venendo reindirizzati a domini di breve durata che imitano siti web bancari legittimi o app ufficiali di mobile banking sul Google Play Store.
Scoperte diverse applicazioni NGate minacciose
Tra novembre 2023 e marzo 2024 sono state identificate sei diverse applicazioni NGate, prima che le attività venissero probabilmente interrotte a causa dell'arresto di un 22enne da parte delle autorità ceche in relazione al furto di fondi tramite bancomat.
NGate non solo sfrutta la funzionalità di NFCGate per catturare e inoltrare il traffico NFC a un altro dispositivo, ma richiede anche agli utenti di immettere informazioni finanziarie sensibili, come il loro ID cliente bancario, la data di nascita e il PIN della carta. Questa pagina di phishing viene visualizzata all'interno di una WebView.
Inoltre, l'applicazione chiede agli utenti di abilitare la funzionalità NFC sui loro smartphone e di tenere la carta di pagamento sul retro del dispositivo finché non viene riconosciuta dall'applicazione dannosa.
Gli aggressori chiamano le vittime per sfruttarle ulteriormente
Gli attacchi adottano inoltre un approccio insidioso in quanto le vittime, dopo aver installato l'app PWA o WebAPK tramite link inviati tramite messaggi SMS, subiscono il furto delle proprie credenziali e successivamente ricevono chiamate dall'autore della minaccia, che finge di essere un impiegato di banca e le informa che il loro conto bancario è stato compromesso a seguito dell'installazione dell'applicazione.
Successivamente viene chiesto loro di cambiare il PIN e convalidare la carta bancaria utilizzando un'applicazione mobile diversa (ad esempio, NGate), un link di installazione al quale viene inviato anche tramite SMS. Non ci sono prove che queste app siano state distribuite tramite Google Play Store.
NGate utilizza due server distinti per facilitare le sue operazioni. Il primo è un sito Web di phishing progettato per indurre le vittime a fornire informazioni sensibili e in grado di avviare un attacco relay NFC. Il secondo è un server relay NFCGate incaricato di reindirizzare il traffico NFC dal dispositivo della vittima a quello dell'attaccante.
