El malware Android recientemente descubierto roba datos de tarjetas de pago utilizando el lector NFC de un dispositivo infectado y los pasa a los atacantes, una técnica innovadora que clona efectivamente la tarjeta para que pueda usarse en cajeros automáticos o terminales de punto de venta, dijo la compañía de seguridad ESET.

Los investigadores de ESET denominaron al malware NGate porque incorpora Puerta NFCuna herramienta de código abierto para capturar, analizar o alterar el tráfico NFC. Abreviatura de Comunicación de campo cercanoNFC es un protocolo que permite que dos dispositivos se comuniquen de forma inalámbrica en distancias cortas.

Nuevo escenario de ataque a Android

«Este es un nuevo escenario de ataque para Android y es la primera vez que vemos malware para Android con esta capacidad siendo utilizado en la naturaleza», dijo el investigador de ESET Lukas Stefanko en un comunicado. video demostrando el descubrimiento. «El malware NGate puede transmitir datos NFC desde la tarjeta de una víctima a través de un dispositivo comprometido al teléfono inteligente de un atacante, quien luego puede emular la tarjeta y retirar dinero de un cajero automático».

El malware se instaló a través de escenarios de phishing tradicionales, como enviar mensajes al atacante y engañarlos para que instalen NGate desde dominios de corta duración que se hacen pasar por bancos o aplicaciones oficiales de banca móvil disponibles en Google Play. Disfrazándose de una aplicación legítima para el banco de un objetivo, NGate solicita al usuario que ingrese la identificación del cliente del banco, la fecha de nacimiento y el código PIN correspondiente a la tarjeta. La aplicación sigue pidiendo al usuario que active NFC y escanee la tarjeta.

ESET dijo que descubrió que NGate se estaba utilizando contra tres bancos checos a partir de noviembre e identificó seis aplicaciones NGate distintas que circularon entre entonces y marzo de este año. Algunas de las aplicaciones utilizadas en los últimos meses de la campaña vinieron en forma de PWA, abreviatura de Aplicaciones web progresivasque, como se informó el jueves, se puede instalar en dispositivos Android e iOS, incluso cuando la configuración (obligatoria en iOS) impide la instalación de aplicaciones disponibles de fuentes no oficiales.

La razón más probable para el fin de la campaña NGate en marzo, dijo ESET, fue arresto arresto por la policía checa de un hombre de 22 años al que dijeron haber sorprendido con una máscara mientras retiraba dinero de cajeros automáticos en Praga. Los investigadores dijeron que el sospechoso había «inventado una nueva forma de engañar a la gente sin dinero» utilizando un esquema que parece idéntico al que involucra a NGate.

Stefanko y su compañero investigador de ESET, Jakub Osmani, explicaron cómo funcionó el ataque:

El anuncio de la policía checa reveló que el escenario del ataque comenzó cuando los atacantes enviaron mensajes SMS a víctimas potenciales sobre una declaración de impuestos, incluido un enlace a un sitio web de phishing que se hacía pasar por bancos. Es probable que estos enlaces condujeran a PWA maliciosas. Una vez que la víctima instaló la aplicación e ingresó sus credenciales, el atacante obtuvo acceso a la cuenta de la víctima. Luego, el atacante llamó a la víctima haciéndose pasar por un empleado del banco. Se informó a la víctima que su cuenta había sido comprometida, probablemente debido al mensaje de texto anterior. En realidad, el atacante estaba diciendo la verdad: la cuenta de la víctima estaba comprometida, pero esa verdad llevó a otra mentira.

Para «proteger» sus fondos, se pidió a la víctima que cambiara su PIN y verificara su tarjeta bancaria mediante una aplicación móvil: el malware NGate. Se envió un enlace para descargar NGate por SMS. Sospechamos que dentro de la aplicación NGate, las víctimas ingresarían su antiguo PIN para crear uno nuevo y colocarían su tarjeta en la parte posterior de su teléfono inteligente para verificar o aplicar el cambio.

Como el atacante ya tenía acceso a la cuenta comprometida, podía cambiar los límites de retiro. Si el método de retransmisión NFC no funcionaba, simplemente podía transferir los fondos a otra cuenta. Sin embargo, el uso de NGate facilita que el atacante acceda a los fondos de la víctima sin dejar rastros en la propia cuenta bancaria del atacante. En la Figura 6 se muestra un diagrama de la secuencia del ataque.

Los investigadores dijeron que NGate o aplicaciones similares podrían usarse en otros escenarios, como la clonación de algunas tarjetas inteligentes utilizadas para otros fines. El ataque funcionaría copiando el ID único de la etiqueta NFC, abreviado como UID.

«Durante nuestras pruebas, transmitimos con éxito el UID de una etiqueta MIFARE Classic 1K, que normalmente se usa para boletos de transporte público, tarjetas de identificación, tarjetas de membresía o de estudiante, y casos de uso similares», escribieron los investigadores. «Usando NFCGate, es posible realizar un ataque de retransmisión NFC para leer un token NFC en una ubicación y, en tiempo real, acceder a instalaciones en una ubicación diferente emulando su UID, como se muestra en la Figura 7».

El skimming puede ocurrir en situaciones en las que el atacante tiene acceso físico a una tarjeta o puede leer brevemente una tarjeta en bolsos, carteras, mochilas o fundas de teléfonos inteligentes desatendidas que contienen tarjetas. Para ejecutar y emular dichos ataques, el atacante debe tener un dispositivo Android personalizado y rooteado. Los teléfonos infectados por NGate no tenían este requisito.