Um novo malware para Android chamado NGate pode roubar dinheiro de cartões de pagamento, transmitindo para o dispositivo de um atacante os dados lidos pelo chip de comunicação por campo de proximidade (NFC).
Especificamente, o NGate permite que atacantes emulem os cartões das vítimas e façam pagamentos não autorizados ou saquem dinheiro de caixas eletrônicos (ATMs).
A campanha está ativa desde novembro de 2023 e está ligada a um relatório recente da ESET sobre o uso crescente de progressive web apps (PWAs) e WebAPKs avançados para roubar credenciais bancárias de usuários na Tchéquia.
Em pesquisa publicada hoje(22), a empresa de cibersegurança diz que o malware NGate também foi usado durante a campanha em alguns casos para realizar roubo direto de dinheiro.
Os ataques começam com textos maliciosos, chamadas automatizadas com mensagens pré-gravadas ou malvertising para enganar vítimas a instalarem uma PWA maliciosa e, mais tarde, WebAPKs, em seus dispositivos.
Esses aplicativos web são promovidos como atualizações urgentes de segurança e usam o ícone oficial e a interface de login do banco alvo para roubar credenciais de acesso dos clientes.
Esses apps não requerem nenhum tipo de permissão quando instalados.
Em vez disso, eles abusam da API do navegador web no qual executam para obter o acesso necessário aos componentes de hardware do dispositivo.
Uma vez que a etapa de phishing é concluída via WebAPK, a vítima é enganada para também instalar o NGate por meio de uma etapa subsequente na segunda fase do ataque.
Após a instalação, o malware ativa um componente de código aberto chamado 'NFCGate' que foi desenvolvido por pesquisadores universitários para testes e experimentação com NFC.
A ferramenta suporta captura, retransmissão, repetição e clonagem de sinais no próprio dispositivo e nem sempre requer que o dispositivo esteja "rooted" para funcionar.
O NGate usa a ferramenta para capturar dados NFC de cartões de pagamento que estão próximos ao dispositivo infectado e em seguida transmite-os para o dispositivo do atacante, diretamente ou através de um servidor.
O atacante pode salvar esses dados como um cartão virtual em seu dispositivo e retransmitir o sinal em ATMs que usam NFC para sacar dinheiro ou fazer pagamento em um sistema de ponto de venda (PoS).
Em uma demonstração em vídeo, o pesquisador de malware da ESET, Lukas Stefanko, também mostra como o componente NFCGate no NGate pode ser usado para escanear e capturar dados de cartões em carteiras e mochilas.
Nesse cenário, um atacante em uma loja poderia receber os dados através de um servidor e fazer um pagamento sem contato usando o cartão da vítima.
Stefanko observa que o malware também pode ser usado para clonar os identificadores únicos de alguns cartões e tokens de acesso NFC para entrar em áreas restritas.
Um saque em dinheiro na maioria dos ATMs requer o código PIN do cartão, o qual, segundo os pesquisadores, é obtido através de engenharia social com a vítima.
Após a etapa de phishing com o PWA/WebAPK ser concluída, os golpistas ligam para a vítima, fingindo ser um funcionário do banco, informando-os de um incidente de segurança que os afeta.
Eles então enviam um SMS com um link para baixar o NGate, supostamente um app para ser usado na verificação de seu cartão de pagamento e PIN existente.
Uma vez que a vítima escaneia o cartão com seu dispositivo e entra o PIN para "verificar" no interface phishing do malware, as informações sensíveis são transmitidas para o atacante, habilitando os saques.
A polícia tcheca já prendeu um dos criminosos cibernéticos realizando esses saques em Praga, mas, à medida que a tática ganha tração, ela representa um risco significativo para os usuários de Android.
A ESET também destaca a possibilidade de clonar crachás de acesso, bilhetes de transporte, distintivos de identidade, cartões de sócio e outras tecnologias impulsionadas por NFC, então a perda direta de dinheiro não é o único cenário ruim.
Se você não está usando ativamente o NFC, pode mitigar o risco desativando o chip NFC do seu dispositivo.
No Android, vá para Configurações > Dispositivos conectados > Preferências de conexão > NFC e desative o interruptor.
Se precisar do NFC ativado todo o tempo, examine todas as permissões de app e restrinja o acesso apenas àqueles que precisam; instale apenas apps bancários da página oficial da instituição ou Google Play, e assegure-se de que o app que você está usando não seja um WebAPK.
WebAPKs geralmente têm um tamanho muito pequeno, são instalados diretamente de uma página de navegador, não aparecem em '/data/app' como os apps Android padrão e mostram informações limitadas em Configurações > Apps.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...