La empresa de ciberseguridad ESET dijo que un malware recientemente descubierto que se ejecuta en el sistema operativo Android roba datos de tarjetas de pago utilizando el lector NFC del dispositivo infectado y los transmite a los atacantes. Es una nueva tecnología que clona efectivamente la tarjeta para que pueda usarse. en cajeros automáticos o puntos de venta.
Los investigadores de ESET llamaron al malware NGate porque incluye… Puerta de enlace NFCuna herramienta de código abierto para capturar, analizar o alterar el tráfico NFC. Abreviatura de Comunicaciones de corto alcanceNFC es un protocolo que permite que dos dispositivos se comuniquen de forma inalámbrica en distancias cortas.
Nuevo escenario de ataque en Android
«Este es un nuevo escenario de ataque para Android, y la primera vez que vemos malware para Android con esta capacidad utilizado en la naturaleza», dijo en un informe el investigador de ESET Lukasz Stefanko. video «El descubrimiento muestra que el malware NGate puede transferir datos NFC desde la tarjeta de la víctima a través de un dispositivo comprometido al teléfono inteligente del atacante, quien luego puede falsificar la tarjeta y retirar dinero de un cajero automático».
Lukasz Stefanko – NGate desenmascarado.
El malware se instaló a través de escenarios de phishing tradicionales, como cuando el atacante envía mensajes a los objetivos y los engaña para que instalen NGate desde dominios de corta duración que se hacen pasar por bancos o aplicaciones oficiales de banca móvil disponibles en Google Play. NGate se disfraza de una aplicación legítima de Target Bank y solicita al usuario que ingrese el ID de cliente del banco, la fecha de nacimiento y el PIN de la tarjeta correspondiente. La aplicación sigue pidiendo al usuario que active NFC y escanee la tarjeta.
ESET dijo que detectó el uso de NGate contra tres bancos checos a partir de noviembre e identificó seis aplicaciones NGate distintas en circulación entre ese momento y marzo de este año. Algunas de las aplicaciones utilizadas en los últimos meses de la campaña vinieron en forma de Progressive Web Apps, que es la abreviatura de Aplicaciones web progresivasque como se informó el jueves se puede instalar en dispositivos Android e iOS incluso cuando la configuración (obligatoria en iOS) impide la instalación de aplicaciones disponibles de fuentes no oficiales.
ESET dijo que la razón más probable por la que la campaña NGate terminó en marzo fue… detención La policía checa arrestó a un hombre de 22 años, quien, según dijeron, fue sorprendido con una máscara mientras retiraba dinero de un cajero automático en Praga. Los investigadores dijeron que el sospechoso «creó una nueva forma de estafar a la gente con su dinero» utilizando un esquema que parecía idéntico al que involucraba a NGate.
Stefanko y su compañero investigador de ESET Jacob Osmani explicaron cómo funcionó el ataque:
El anuncio de la policía checa reveló que el escenario del ataque comenzó cuando los atacantes enviaron mensajes SMS a víctimas potenciales sobre una declaración de impuestos, incluido un enlace a un sitio de phishing que se hacía pasar por bancos. Es probable que estos enlaces conduzcan a aplicaciones web progresivas maliciosas. Una vez que la víctima instaló la aplicación e ingresó sus credenciales, el atacante obtuvo acceso a la cuenta de la víctima. Luego, el atacante llamó a la víctima haciéndose pasar por un empleado del banco. Se informó a la víctima que su cuenta había sido pirateada, probablemente debido al mensaje de texto anterior. En realidad, el atacante decía la verdad: la cuenta de la víctima había sido pirateada, pero esa verdad dio lugar a otra mentira.
Para proteger su dinero, se pidió a la víctima que cambiara su PIN y verificara su tarjeta bancaria mediante una aplicación móvil: el malware NGate. Se envió un enlace para descargar NGate por SMS. Sospechamos que dentro de la aplicación NGate, las víctimas ingresaban su antiguo PIN para crear uno nuevo y colocaban su tarjeta en la parte posterior de su teléfono inteligente para verificar o aplicar el cambio.
Como el atacante ya tenía acceso a la cuenta comprometida, podría cambiar los límites de retiro. Si el método de reenvío NFC no funciona, simplemente puede transferir el dinero a otra cuenta. Sin embargo, el uso de NGate facilita que un atacante acceda a los fondos de la víctima sin dejar rastros en la cuenta bancaria del atacante. En la Figura 6 se muestra un diagrama de la secuencia del ataque.
Los investigadores dijeron que NGate o aplicaciones similares podrían usarse en otros escenarios, como la clonación de algunas tarjetas inteligentes utilizadas para otros fines. El ataque funcionará copiando el identificador único de la etiqueta NFC, abreviado como UID.
«Durante nuestras pruebas, transferimos con éxito el identificador de usuario único de la etiqueta MIFARE Classic 1K, que normalmente se usa para boletos de transporte público, tarjetas de identificación, tarjetas de membresía o de estudiante, y casos de uso similares», escribieron los investigadores. «Utilizando NFCGate, es posible realizar un ataque de transferencia NFC para leer un código NFC en una ubicación y, en tiempo real, obtener acceso a edificios en una ubicación diferente falsificando su ID de usuario único, como se muestra en la Figura 7».
Dar un golpe de zoom/ Figura 7. Un teléfono inteligente Android (derecha) que lee el UID de un token NFC externo y lo transmite a otro dispositivo (izquierda).
ESET
Las operaciones de clonación pueden ocurrir en situaciones en las que un atacante puede obtener acceso físico a una tarjeta o leer brevemente una tarjeta en bolsos, carteras, mochilas o fundas de teléfonos inteligentes que contienen tarjetas. Para llevar a cabo y simular dichos ataques, el atacante requiere un dispositivo Android personalizado y rooteado. Los teléfonos infectados con el virus NGate no presentaban esta condición.
