El malware Android recientemente descubierto utiliza el lector NFC de un dispositivo infectado para robar datos de tarjetas de pago y transmitirlos a atacantes, que podrían usarse en cajeros automáticos o terminales de puntos de venta, dijo la firma de seguridad ESET.
Los investigadores de ESET llamaron al malware NGate porque contiene Puerta NFCUna herramienta de código abierto para capturar, analizar o manipular el tráfico NFC. corto para Comunicación de campo cercanoNFC es un protocolo que permite que dos dispositivos se comuniquen de forma inalámbrica en distancias cortas.
Un nuevo escenario de ataque a Android
«Este es un nuevo escenario de ataque a Android, y es la primera vez que vemos malware para Android con esta capacidad utilizado en la naturaleza», dijo el investigador de ESET Lukas Stefanko. Video Demostrando innovación. «El malware NGate puede transmitir datos NFC desde la tarjeta de una víctima a través de un dispositivo comprometido al teléfono inteligente de un atacante, que puede hacerse pasar por la tarjeta y retirar dinero de un cajero automático».
Desenmascarando a Lukáš Stefanko-Engate.
El malware se instala a través de escenarios de phishing tradicionales, como engañar a los atacantes para que envíen mensajes e instalar NGate desde bancos o dominios efímeros disfrazados de aplicaciones oficiales de banca móvil disponibles en Google Play. Haciéndose pasar por una aplicación legítima para el banco del objetivo, NGate Banking solicita al usuario que ingrese el ID del cliente, la fecha de nacimiento y el código PIN de la tarjeta. La aplicación solicita al usuario que active NFC y escanee la tarjeta.
ESET dijo que detectó el uso de NGate contra tres bancos checos a partir de noviembre, y seis aplicaciones NGate diferentes en circulación desde mediados de marzo de este año. Algunas de las aplicaciones utilizadas en los últimos meses de la campaña llegaron en forma de PWA. Aplicaciones web progresivasComo se informó el jueves, se puede instalar en dispositivos Android e iOS incluso cuando la configuración (obligatoria en iOS) impide la instalación de aplicaciones disponibles de fuentes no oficiales.
Probablemente esa sea la razón por la que la campaña NGate terminó en marzo, dice ESET. detención La policía checa dijo que el joven de 22 años fue sorprendido con una máscara mientras retiraba dinero de cajeros automáticos en Praga. El sospechoso utilizó un plan vinculado a NGate para «idear una nueva forma de estafar a la gente con dinero», dijeron los investigadores.
Stefanko y su compañero investigador de ESET, Jakub Osmani, explicaron cómo funcionó el ataque:
Un comunicado de la policía checa reveló que la escena del ataque comenzó cuando los atacantes enviaron mensajes SMS a las víctimas potenciales sobre una declaración de impuestos, que incluía un enlace a un sitio web de phishing que se hacía pasar por bancos. Estos enlaces pueden conducir a PWA maliciosas. Después de que la víctima instaló la aplicación e insertó sus credenciales, el atacante obtuvo acceso a la cuenta de la víctima. Luego, el atacante llamó a la víctima haciéndose pasar por un empleado del banco. Primero se informó a la víctima que su cuenta había sido comprometida debido a un mensaje de texto. En realidad, el atacante decía la verdad: la cuenta de la víctima estaba comprometida, pero esta verdad llevó a otra mentira.
Para «proteger» sus fondos, se solicita a la víctima que cambie su PIN y verifique su tarjeta bancaria mediante una aplicación móvil: el malware NGate. Se envía un enlace para descargar NGate por SMS. En la aplicación NGate, sospechamos que las víctimas ingresarán su antiguo PIN para crear un nuevo PIN y colocarán su tarjeta en la parte posterior de su teléfono inteligente para verificar o aplicar el cambio.
Dado que el atacante ya tiene acceso a la cuenta comprometida, puede cambiar los límites de retiro. Si el método de retransmisión NFC no funciona, simplemente pueden transferir los fondos a otra cuenta. Sin embargo, el uso de NGate facilita que un atacante acceda a los fondos de la víctima sin rastros de la propia cuenta bancaria del atacante. En la Figura 6 se muestra un diagrama de la secuencia del ataque.
Los investigadores dijeron que NGate o aplicaciones similares podrían usarse en otros escenarios, como la clonación de ciertas tarjetas inteligentes utilizadas para otros fines. El ataque funciona copiando el ID único de la etiqueta NFC, abreviado como UID.
«Durante nuestras pruebas, transmitimos con éxito el UID desde una etiqueta MIFARE Classic 1K, que se usa comúnmente para boletos de transporte público, tarjetas de identificación, tarjetas de membresía o de estudiante, y casos de uso similares», escribieron los investigadores. «Utilizando NFCGate, es posible llevar a cabo un ataque de retransmisión NFC para leer un token NFC en una ubicación y acceder a las instalaciones en otra ubicación haciéndose pasar por su UID, en tiempo real, como se muestra en la Figura 7».
grande/ Figura 7. Un teléfono inteligente Android (derecha) lee y transmite el UID de un token NFC externo a otro dispositivo (izquierda).
ESET
La clonación puede ocurrir en situaciones en las que un atacante tiene acceso físico a la tarjeta o puede leer brevemente la tarjeta en carteras, carteras, mochilas o fundas de teléfonos inteligentes desatendidos que contienen las tarjetas. Un atacante necesita tener un dispositivo Android personalizado y rooteado para realizar y simular dichos ataques. Los teléfonos infectados por NGate no necesitan esto.
