NGate Mobile Malware
Os pesquisadores de segurança cibernética identificaram um novo malware para Android capaz de retransmitir dados de pagamento sem contato das vítimas, de cartões físicos de crédito e débito, para um dispositivo controlado por invasores, permitindo transações fraudulentas.
Este malware, conhecido como NGate, tem como alvo principal três bancos na República Tcheca. O NGate funciona transferindo dados de cartão de pagamento do dispositivo Android da vítima, onde um aplicativo ameaçador foi instalado, para o telefone Android com root do invasor.
Esta operação faz parte de uma campanha mais ampla, ativa desde novembro de 2023, que tem como alvo instituições financeiras na República Tcheca por meio de progressive Web applications (PWAs) e WebAPKs comprometidos. A primeira instância conhecida do NGate foi detectada em março de 2024.
Índice
Os Autores de Ameaças Tentam Coletar Detalhes de Cartões de Pagamento
O objetivo principal desses ataques é clonar dados de comunicação de campo próximo (NFC) dos cartões de pagamento físicos das vítimas usando NGate. As informações coletadas são então transmitidas para um dispositivo controlado pelo invasor, que emula o cartão original para sacar dinheiro de um caixa eletrônico.
O NGate se originou de uma ferramenta legítima chamada NFCGate, desenvolvida inicialmente em 2015 para fins de pesquisa de segurança.
A estratégia de ataque provavelmente envolve uma mistura de engenharia social e phishing por SMS, onde os usuários são enganados e instalados no NGate ao serem redirecionados para domínios de curta duração que imitam sites bancários legítimos ou aplicativos bancários móveis oficiais na loja Google Play.
Vários Aplicativos NGate Ameaçadores foram Descobertas
Entre novembro de 2023 e março de 2024, seis aplicativos NGate diferentes foram identificados antes que as atividades fossem provavelmente interrompidas devido à prisão de um jovem de 22 anos pelas autoridades tchecas em conexão com roubo de fundos de caixas eletrônicos.
O NGate não só explora a funcionalidade do NFCGate para capturar e retransmitir tráfego NFC para outro dispositivo, mas também solicita que os usuários insiram informações financeiras confidenciais, como ID de cliente bancário, data de nascimento e PIN do cartão. Esta página de phishing é exibida dentro de um WebView.
Além disso, o aplicativo instrui os usuários a habilitar o recurso NFC em seus smartphones e a segurar o cartão de pagamento na parte de trás do dispositivo até que o cartão seja reconhecido pelo aplicativo malicioso.
Os Agressores Abordam as Vítimas para Explorá-las Ainda Mais
Os ataques adotam ainda uma abordagem insidiosa, pois as vítimas, após instalarem o aplicativo PWA ou WebAPK por meio de links enviados por mensagens SMS, têm suas credenciais roubadas e, posteriormente, recebem chamadas do agente da ameaça, que finge ser um funcionário do banco e as informa que sua conta bancária foi comprometida como resultado da instalação do aplicativo.
Eles são posteriormente instruídos a alterar seu PIN e validar seu cartão bancário usando um aplicativo móvel diferente (por exemplo, NGate), um link de instalação para o qual também é enviado por SMS. Não há evidências de que esses aplicativos foram distribuídos pela Google Play Store.
O NGate usa dois servidores distintos para facilitar suas operações. O primeiro é um site de phishing projetado para atrair vítimas a fornecer informações confidenciais e capaz de iniciar um ataque de retransmissão NFC. O segundo é um servidor de retransmissão NFCGate encarregado de redirecionar o tráfego NFC do dispositivo da vítima para o do invasor.
