Un malware para Android recientemente descubierto roba datos de tarjetas de pago utilizando el lector NFC de un dispositivo infectado y los transmite a los atacantes, una técnica novedosa que clona efectivamente la tarjeta para que pueda usarse en cajeros automáticos o terminales de puntos de venta, dijo la firma de seguridad ESET.
Los investigadores de ESET han bautizado el malware como NGate porque incorpora Puerta NFCuna herramienta de código abierto para capturar, analizar o alterar el tráfico NFC. Abreviatura de Comunicación de campo cercanoNFC es un protocolo que permite que dos dispositivos se comuniquen de forma inalámbrica en distancias cortas.
Nuevo escenario de ataque a Android
“Este es un nuevo escenario de ataque para Android y es la primera vez que vemos malware para Android con esta capacidad en uso”, dijo el investigador de ESET Lukas Stefanko en un comunicado. video Demostrando el descubrimiento. “El malware NGate puede transmitir datos NFC desde la tarjeta de la víctima a través de un dispositivo comprometido al teléfono inteligente de un atacante, que luego puede emular la tarjeta y retirar dinero de un cajero automático”.
Lukas Stefanko: desenmascarando NGate.
El malware se instaló a través de escenarios tradicionales de phishing, como cuando el atacante enviaba mensajes a las víctimas y las engañaba para que instalaran NGate desde dominios de corta duración que se hacían pasar por bancos o aplicaciones oficiales de banca móvil disponibles en Google Play. Haciéndose pasar por una aplicación legítima del banco de la víctima, NGate solicita al usuario que ingrese el ID de cliente bancario, la fecha de nacimiento y el código PIN correspondiente a la tarjeta. La aplicación luego solicita al usuario que active NFC y escanee la tarjeta.
ESET afirmó que descubrió que NGate se estaba utilizando contra tres bancos checos a partir de noviembre e identificó seis aplicaciones NGate independientes que circularon entre esa fecha y marzo de este año. Algunas de las aplicaciones utilizadas en los últimos meses de la campaña se presentaron en forma de PWA, abreviatura de Aplicaciones web progresivasque como informó el jueves se puede instalar en dispositivos Android e iOS incluso cuando la configuración (obligatoria en iOS) impide la instalación de aplicaciones disponibles de fuentes no oficiales.
La razón más probable por la que la campaña NGate terminó en marzo, dijo ESET, fue la detención La policía checa ha detenido a un joven de 22 años que, según afirman, llevaba una máscara mientras sacaba dinero de los cajeros automáticos de Praga. Los investigadores afirman que el sospechoso había “ideado una nueva forma de estafar a la gente” utilizando un esquema que parece idéntico al que involucra a NGate.
Stefanko y su colega investigador de ESET, Jakub Osmani, explicaron cómo funcionó el ataque:
El anuncio de la policía checa reveló que el escenario del ataque comenzó con los atacantes enviando mensajes SMS a las víctimas potenciales sobre una declaración de impuestos, incluido un enlace a un sitio web de phishing que se hacía pasar por un banco. Lo más probable es que estos enlaces condujeran a PWA maliciosas. Una vez que la víctima instaló la aplicación e introdujo sus credenciales, el atacante obtuvo acceso a la cuenta de la víctima. Luego, el atacante llamó a la víctima, haciéndose pasar por un empleado del banco. La víctima fue informada de que su cuenta había sido comprometida, probablemente debido al mensaje de texto anterior. El atacante estaba diciendo la verdad: la cuenta de la víctima estaba comprometida, pero esta verdad luego condujo a otra mentira.
Para “proteger” sus fondos, se le pidió a la víctima que cambiara su PIN y verificara su tarjeta bancaria mediante una aplicación móvil (el malware NGate). Se envió un enlace para descargar NGate por SMS. Sospechamos que dentro de la aplicación NGate, las víctimas ingresaban su PIN anterior para crear uno nuevo y colocaban su tarjeta en la parte posterior de su teléfono inteligente para verificar o aplicar el cambio.
Como el atacante ya tenía acceso a la cuenta comprometida, podría cambiar los límites de retiro. Si el método de retransmisión NFC no funcionaba, simplemente podría transferir los fondos a otra cuenta. Sin embargo, el uso de NGate facilita que el atacante acceda a los fondos de la víctima sin dejar rastros que lleven a la propia cuenta bancaria del atacante. En la Figura 6 se muestra un diagrama de la secuencia del ataque.
Los investigadores dijeron que NGate o aplicaciones similares podrían utilizarse en otros escenarios, como clonar algunas tarjetas inteligentes que se utilizan para otros fines. El ataque funcionaría copiando el identificador único de la etiqueta NFC, abreviado como UID.
“Durante nuestras pruebas, logramos transmitir con éxito el UID de una etiqueta MIFARE Classic 1K, que se utiliza normalmente para billetes de transporte público, credenciales de identificación, tarjetas de socio o de estudiante y casos de uso similares”, escribieron los investigadores. “Usando NFCGate, es posible realizar un ataque de retransmisión NFC para leer un token NFC en una ubicación y, en tiempo real, acceder a instalaciones en una ubicación diferente emulando su UID, como se muestra en la Figura 7”.
Agrandar/ Figura 7. Teléfono inteligente Android (derecha) que leyó y transmitió el UID de un token NFC externo a otro dispositivo (izquierda).
ESET
La clonación podría ocurrir en situaciones en las que el atacante tiene acceso físico a una tarjeta o puede leer brevemente una tarjeta en carteras, billeteras, mochilas o fundas de teléfonos inteligentes que no estén a la vista de los usuarios. Para realizar y emular este tipo de ataques, el atacante debe tener un dispositivo Android rooteado y personalizado. Los teléfonos infectados por NGate no tenían este requisito.
