Investigadores de ciberseguridad han descubierto un nuevo malware para Android que puede transmitir los datos de pago sin contacto de las víctimas desde tarjetas de crédito y débito físicas a un dispositivo controlado por un atacante con el objetivo de realizar operaciones fraudulentas.

La empresa eslovaca de ciberseguridad está rastreando un nuevo malware conocido como NGate y ha informado de una campaña criminal dirigida a tres bancos en Chequia.

Según los investigadores Lukáš Štefanko y Jakub Osmani, “el malware tiene la capacidad única de transmitir los datos de las tarjetas de pago de las víctimas a través de una aplicación maliciosa instalada en sus dispositivos Android, hacia el teléfono Android rooteado del atacante”.

Esta actividad es parte de una campaña más amplia que ha estado apuntando a instituciones financieras en Chequia desde noviembre de 2023, utilizando aplicaciones web progresivas (PWA) y WebAPK maliciosas. El primer uso registrado de NGate fue en marzo de 2024.

El objetivo final de estos ataques es clonar los datos de comunicación de campo cercano (NFC) de las tarjetas de pago físicas de las víctimas utilizando NGate, y luego transmitir esta información a un dispositivo atacante que emula la tarjeta original para retirar dinero de un cajero automático.

NGate se originó a partir de una herramienta legítima llamada NFCGate, desarrollada inicialmente en 2015 con fines de investigación de seguridad por estudiantes del Laboratorio de Redes Móviles Seguras en la TU Darmstadt.

Se cree que los ataques involucran una combinación de ingeniería social y phishing por SMS para engañar a los usuarios y hacerles instalar NGate, redirigiéndolos a dominios temporales que se hacen pasar por sitios web bancarios legítimos o aplicaciones de banca móvil oficiales en Google Play.

Hasta la fecha, se han identificado hasta seis aplicaciones NGate diferentes entre noviembre de 2023 y marzo de 2024, cuando las actividades se detuvieron probablemente tras la detención de un joven de 22 años por las autoridades checas en relación con el robo de fondos de cajeros automáticos.

Además de aprovechar la funcionalidad de NFCGate para capturar tráfico NFC y pasarlo a otro dispositivo, NGate solicita a los usuarios que ingresen información financiera confidencial, como el ID de cliente bancario, la fecha de nacimiento y el código PIN de su tarjeta bancaria. La página de phishing se presenta dentro de un WebView.

“También les solicita activar la función NFC en su smartphone”, señalaron los investigadores. “Luego, se les pide a las víctimas que coloquen su tarjeta de pago en la parte posterior de su teléfono inteligente hasta que la aplicación maliciosa la reconozca”.

Los ataques adoptan un enfoque aún más insidioso, donde las víctimas, tras instalar la aplicación PWA o WebAPK a través de enlaces enviados por SMS, son víctimas de phishing de sus credenciales y luego reciben llamadas del actor de la amenaza, quien se hace pasar por un empleado del banco e informa que su cuenta bancaria ha sido comprometida debido a la instalación de la aplicación.

Posteriormente, se les solicita cambiar su PIN y validar su tarjeta bancaria mediante una aplicación móvil diferente (como NGate), a la que también se les envía un enlace de instalación por SMS. No hay evidencia de que estas aplicaciones se hayan distribuido a través de la Google Play Store.

Fuente: http://thehackernews.com