Malware móvil NGate
Investigadores de ciberseguridad han identificado un nuevo malware para Android capaz de transmitir los datos de pago sin contacto de las víctimas desde tarjetas de crédito y débito físicas a un dispositivo controlado por atacantes, lo que permite transacciones fraudulentas.
Este malware, conocido como NGate, está dirigido principalmente a tres bancos de la República Checa. NGate funciona transfiriendo datos de tarjetas de pago desde el dispositivo Android de la víctima, donde se ha instalado una aplicación amenazante, al teléfono Android rooteado del atacante.
Esta operación forma parte de una campaña más amplia, activa desde noviembre de 2023, que tiene como objetivo a las instituciones financieras de Chequia a través de aplicaciones web progresivas (PWA) y WebAPK comprometidas. El primer caso conocido de NGate se detectó en marzo de 2024.
Tabla de contenido
Los actores de amenazas intentan recopilar datos de tarjetas de pago
El objetivo principal de estos ataques es clonar los datos de comunicación de campo cercano (NFC) de las tarjetas de pago físicas de las víctimas mediante NGate. La información obtenida se transmite luego a un dispositivo controlado por el atacante, que emula la tarjeta original para retirar dinero de un cajero automático.
NGate se originó a partir de una herramienta legítima llamada NFCGate, desarrollada inicialmente en 2015 con fines de investigación de seguridad.
La estrategia de ataque probablemente involucra una combinación de ingeniería social y phishing por SMS, donde los usuarios son engañados para que instalen NGate al ser redirigidos a dominios de corta duración que imitan sitios web bancarios legítimos o aplicaciones oficiales de banca móvil en la tienda Google Play.
Se descubren varias aplicaciones NGate amenazantes
Entre noviembre de 2023 y marzo de 2024, se identificaron seis aplicaciones NGate diferentes antes de que las actividades probablemente se detuvieran debido al arresto de un joven de 22 años por parte de las autoridades checas en relación con el robo de fondos de un cajero automático.
NGate no solo aprovecha la funcionalidad de NFCGate para capturar y retransmitir el tráfico NFC a otro dispositivo, sino que también solicita a los usuarios que introduzcan información financiera confidencial, como su ID de cliente bancario, fecha de nacimiento y PIN de la tarjeta. Esta página de phishing se muestra en una vista web.
Además, la aplicación instruye a los usuarios a habilitar la función NFC en sus teléfonos inteligentes y a sostener su tarjeta de pago contra la parte posterior del dispositivo hasta que la aplicación maliciosa la reconozca.
Los atacantes llaman a las víctimas para explotarlas aún más
Los ataques adoptan además un enfoque insidioso en el que las víctimas, después de haber instalado la aplicación PWA o WebAPK a través de enlaces enviados por mensajes SMS, sufren phishing de sus credenciales y posteriormente reciben llamadas del actor de la amenaza, que se hace pasar por un empleado del banco y les informa que su cuenta bancaria había sido comprometida como resultado de la instalación de la aplicación.
Posteriormente, se les pide que cambien su PIN y validen su tarjeta bancaria mediante una aplicación móvil diferente (por ejemplo, NGate), a la que también se les envía un enlace de instalación por SMS. No hay evidencia de que estas aplicaciones se distribuyeran a través de Google Play Store.
NGate utiliza dos servidores distintos para facilitar sus operaciones. El primero es un sitio web de phishing diseñado para atraer a las víctimas para que proporcionen información confidencial y capaz de iniciar un ataque de retransmisión NFC. El segundo es un servidor de retransmisión NFCGate cuya tarea es redirigir el tráfico NFC desde el dispositivo de la víctima al del atacante.
