Investigadores de ciberseguridad han descubierto un nuevo malware para Android capaz de transmitir los datos de pago sin contacto de las víctimas desde tarjetas de crédito y débito físicas a un dispositivo controlado por un atacante con el objetivo de realizar transacciones fraudulentas.
La empresa eslovaca de ciberseguridad está rastreando el nuevo malware con el nombre de NGate y afirma haber observado la campaña de crimeware dirigida a tres bancos de la República Checa.
El malware “tiene la capacidad única de transmitir los datos de las tarjetas de pago de las víctimas, a través de una aplicación maliciosa instalada en sus dispositivos Android, al teléfono Android rooteado del atacante”, dijeron los investigadores Lukáš Štefanko y Jakub Osmani. dicho en un análisis.
Esta actividad es parte de una campaña más amplia dirigida a instituciones financieras de la República Checa desde noviembre de 2023 utilizando aplicaciones web progresivas (PWA) y WebAPK maliciosas. El primer uso registrado de NGate fue en marzo de 2024.
El objetivo final de los ataques es clonar datos de comunicación de campo cercano (NFC) de las tarjetas de pago físicas de las víctimas utilizando NGate y transmitir la información a un dispositivo atacante que luego emula la tarjeta original para retirar dinero de un cajero automático.
NGate tiene sus raíces en una herramienta legítima llamada Puerta NFCque fue desarrollado originalmente en 2015 con fines de investigación de seguridad por estudiantes del Secure Mobile Networking Lab de TU Darmstadt.
Se cree que las cadenas de ataque implican una combinación de ingeniería social y phishing por SMS para engañar a los usuarios para que instalen NGate dirigiéndolos a dominios de corta duración disfrazados de sitios web bancarios legítimos o aplicaciones bancarias oficiales para móviles disponibles en Google Play Store.
Hasta la fecha se han identificado hasta seis aplicaciones NGate diferentes entre noviembre de 2023 y marzo de 2024, cuando las actividades se detuvieron probablemente después de la Detener de un joven de 22 años arrestado por las autoridades checas por robo de fondos en cajeros automáticos.
NGate, además de abusar de la funcionalidad de NFCGate para capturar el tráfico NFC y transmitirlo a otro dispositivo, solicita a los usuarios que ingresen información financiera confidencial, incluida la identificación del cliente bancario, la fecha de nacimiento y el PIN de su tarjeta bancaria. La página de phishing se presenta en un vista web.
“La aplicación también pide a las víctimas que activen la función NFC en su teléfono inteligente”, explicaron los investigadores. “Luego tienen que colocar su tarjeta de pago en la parte posterior de su teléfono inteligente hasta que la aplicación maliciosa la reconozca. »
Los ataques adoptan además un enfoque insidioso ya que las víctimas, después de instalar la aplicación PWA o WebAPK a través de enlaces enviados por SMS, piratean sus credenciales y luego reciben llamadas del actor malicioso, que se hace pasar por un empleado del banco y les informa que su cuenta bancaria ha sido bloqueada. se ha visto comprometido después de la instalación de la aplicación.
A continuación se les pide que cambien su código PIN y validen su tarjeta bancaria mediante otra aplicación móvil (NGate), para lo que también se les envía por SMS un enlace de instalación. No hay evidencia de que estas aplicaciones se hayan distribuido a través de Google Play Store.
“NGate utiliza dos servidores separados para facilitar sus operaciones”, explican los investigadores. “El primero es un sitio web de phishing diseñado para engañar a las víctimas para que proporcionen información confidencial y capaz de lanzar un ataque de retransmisión NFC. El segundo es un servidor de retransmisión NFCGate responsable de redirigir el tráfico NFC desde el dispositivo de la víctima al del atacante. »
Esta revelación se produce cuando Zscaler ThreatLabz detalló una nueva variante de un conocido troyano bancario de Android llamado Copybara que se propaga a través de ataques de phishing (vishing) de voz y engaña a las personas para que ingresen las credenciales de sus cuentas bancarias.
“Esta nueva variante de Copybara ha estado activa desde noviembre de 2023 y utiliza el protocolo MQTT para establecer comunicación con su servidor de comando y control (C2)”, dijo Ruchna Nigam. dicho.
“El malware explota la funcionalidad del servicio de accesibilidad nativo de los dispositivos Android para ejercer un control preciso sobre el dispositivo infectado. En segundo plano, el malware también descarga páginas de phishing que imitan los intercambios de criptomonedas y las instituciones financieras populares utilizando sus logotipos y nombres de aplicaciones. »