Una investigación reciente de la empresa de ciberseguridad ESET proporciona detalles sobre una nueva campaña de ataque dirigida a los usuarios de teléfonos inteligentes Android. El ciberataque, basado tanto en un complejo esquema de ingeniería social como en el uso de un nuevo malware para Android, es capaz de robar los datos de comunicación de campo cercano de los usuarios para retirar efectivo de los cajeros automáticos habilitados con NFC. Constantes mejoras técnicas del actor de amenazas Como señaló ESET, el actor de amenazas inicialmente explotó la tecnología de aplicación web progresiva, que permite la instalación de una aplicación desde cualquier sitio web fuera de Play Store. Esta tecnología se puede utilizar con navegadores compatibles, como navegadores basados en Chromium en computadoras de escritorio o Firefox, Chrome, Edge, Opera, Safari, Orion y Samsung Internet Browser. Las PWA, a las que se accede directamente a través de los navegadores, son flexibles y generalmente no sufren problemas de compatibilidad. Las PWA, una vez instaladas en los sistemas, se pueden reconocer por su ícono, que muestra un pequeño ícono de navegador adicional. Ejemplo de un ícono de PWA (izquierda) que imita una aplicación real (derecha). Imagen: ESET Los cibercriminales utilizan PWA para llevar a usuarios desprevenidos a sitios web de phishing en pantalla completa para recopilar sus credenciales o información de tarjetas de crédito. El actor de amenazas involucrado en esta campaña cambió de PWA a WebAPK, un tipo más avanzado de PWA. La diferencia es sutil: las PWA son aplicaciones creadas con tecnologías web, mientras que los WebAPK utilizan una tecnología para integrar PWA como aplicaciones nativas de Android. Desde la perspectiva del atacante, el uso de WebAPK es más sigiloso porque sus íconos ya no muestran un pequeño ícono de navegador. Diferencia en los íconos. Aplicación legítima a la izquierda, WebAPK malicioso en el medio, PWA a la derecha. Imagen: ESET La víctima descarga e instala una aplicación independiente desde un sitio web de phishing. Esa persona no solicita ningún permiso adicional para instalar la aplicación desde un sitio web de terceros. Esos sitios web fraudulentos a menudo imitan partes de Google Play Store para generar confusión y hacer creer al usuario que la instalación en realidad proviene de Play Store cuando en realidad proviene directamente del sitio web fraudulento. Ejemplo de un sitio web de phishing que imita a Google Play para que el usuario instale un WebAPK malicioso. Imagen: ESET Cobertura de seguridad de lectura obligada Malware NGate El 6 de marzo, los mismos dominios de distribución utilizados para las campañas de phishing de PWA y WebAPK observadas comenzaron de repente a propagar un nuevo malware llamado NGate. Una vez instalado y ejecutado en el teléfono de la víctima, abre un sitio web falso que solicita la información bancaria del usuario, que se envía al actor de la amenaza. Sin embargo, el malware también incorpora una herramienta llamada NFCGate, una herramienta legítima que permite la retransmisión de datos NFC entre dos dispositivos sin la necesidad de que el dispositivo esté rooteado. Una vez que el usuario ha proporcionado la información bancaria, esa persona recibe una solicitud para activar la función NFC desde su teléfono inteligente y colocar su tarjeta de crédito contra la parte posterior de su teléfono inteligente hasta que la aplicación reconozca correctamente la tarjeta. Ingeniería social completa Si bien la activación de NFC para una aplicación y el reconocimiento de una tarjeta de pago puede parecer inicialmente sospechoso, las técnicas de ingeniería social implementadas por los actores de amenazas explican el escenario. El cibercriminal envía un mensaje SMS al usuario, mencionando una declaración de impuestos e incluyendo un enlace a un sitio web de phishing que se hace pasar por empresas bancarias y conduce a una PWA maliciosa. Una vez instalada y ejecutada, la aplicación solicita las credenciales bancarias del usuario. En este punto, el actor de amenazas llama al usuario, haciéndose pasar por la empresa bancaria. Se informa a la víctima de que su cuenta ha sido comprometida, probablemente debido al SMS anterior. Luego, se le solicita al usuario que cambie su PIN y verifique los datos de la tarjeta bancaria mediante una aplicación móvil para proteger su cuenta bancaria. Luego, el usuario recibe un nuevo SMS con un enlace a la aplicación de malware NGate. Una vez instalada, la aplicación solicita la activación de la función NFC y el reconocimiento de la tarjeta de crédito presionándola contra la parte posterior del teléfono inteligente. Los datos se envían al atacante en tiempo real. Esquema de ataque completo. Imagen: ESET Monetización de la información robada La información robada por el atacante permite realizar el fraude habitual: retirar fondos de la cuenta bancaria o usar la información de la tarjeta de crédito para comprar bienes en línea. Sin embargo, los datos NFC robados por el ciberatacante le permiten emular la tarjeta de crédito original y retirar dinero de cajeros automáticos que utilizan NFC, lo que representa un vector de ataque no reportado previamente. Alcance del ataque La investigación de ESET reveló ataques en la República Checa, ya que solo se apuntaron a empresas bancarias de ese país. Un sospechoso de 22 años ha sido arrestado en Praga. Tenía alrededor de 6.000 euros (6.500 dólares). Según la Policía checa, ese dinero fue el resultado del robo a las últimas tres víctimas, lo que sugiere que el actor de la amenaza robó mucho más durante esta campaña de ataque. Sin embargo, como escriben los investigadores de ESET, «no se puede descartar la posibilidad de su expansión a otras regiones o países». Es probable que más cibercriminales utilicen técnicas similares en el futuro cercano para robar dinero a través de NFC, especialmente a medida que NFC se vuelve cada vez más popular para los desarrolladores. Cómo protegerse de esta amenaza Para evitar ser víctima de esta campaña cibernética, los usuarios deben: Verificar la fuente de las aplicaciones que descargan y examinar cuidadosamente las URL para garantizar su legitimidad. Evitar descargar software fuera de fuentes oficiales, como Google Play Store. No comparta el código PIN de su tarjeta de pago. Ningún banco le pedirá nunca esta información. Utilice versiones digitales de las tarjetas físicas tradicionales, ya que estas tarjetas virtuales se almacenan de forma segura en el dispositivo y pueden protegerse con medidas de seguridad adicionales, como la autenticación biométrica. Instale software de seguridad en los dispositivos móviles para detectar malware y aplicaciones no deseadas en el teléfono. Los usuarios también deben desactivar NFC en los teléfonos inteligentes cuando no los utilicen, lo que los protege de robos de datos adicionales. Los atacantes pueden leer los datos de las tarjetas a través de carteras, billeteras y mochilas desatendidas en lugares públicos. Pueden utilizar los datos para pequeños pagos sin contacto. También se pueden utilizar fundas protectoras para crear una barrera eficaz contra escaneos no deseados. Si surge alguna duda en caso de que llame un empleado de una empresa bancaria, cuelgue y llame al contacto habitual de la empresa, preferiblemente a través de otro teléfono. Divulgación: trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.
Etiqueta: comunicación de campo cercano
Los desarrolladores que creen aplicaciones para iPhones podrán aprovechar las transacciones sin contacto de Apple a partir del próximo lanzamiento de otoño de iOS 18.1, anunció la compañía el 14 de agosto. Esto significa que las aplicaciones podrían incluir pagos en persona personalizados, credenciales corporativas y otras identificaciones, tarjetas de recompensas y más. La nueva función estará disponible para desarrolladores en Australia, Brasil, Canadá, Japón, Nueva Zelanda, el Reino Unido y los EE. UU. Los pagos sin contacto como Apple Pay, Samsung Pay y Google Pay se han vuelto comunes por su facilidad de uso, lo que permite a las personas tocar su teléfono para realizar compras. Del mismo modo, las identificaciones de comunicación de campo cercano se pueden usar en campus universitarios o corporativos para permitir que las personas accedan a los edificios sin llevar una llave física o identificación. Algunos de los ejemplos de Apple para los desarrolladores incluyen usos corporativos, como «emisores de tarjetas bancarias, fabricantes de llaves de automóviles y operadores de tránsito». Esta noticia llega después de que Apple anunciara previamente que abriría el chip NFC a aplicaciones de terceros en Europa mientras se adhiriera a la Ley de Mercados Digitales. En agosto, se informó que Apple Intelligence podría lanzarse en Macs de la UE, eludiendo las reglas de DMA. Cobertura obligatoria de Apple NFC es parte de la plataforma Secure Element ¿Cómo funciona esto? Las aplicaciones de toque para transferir como Apple Pay usan Secure Element, un chip certificado, para mantener seguras las transacciones al almacenar información confidencial. Los desarrolladores tendrán acceso a NFC y a las API de Secure Element para agregar, almacenar y presentar tarjetas sin contacto para NFC desde dentro de su aplicación iOS. El uso de NFC permitirá a los desarrolladores crear una aplicación que podría usarse como la aplicación sin contacto predeterminada del teléfono. Los usuarios también podrían seleccionar la aplicación manualmente. Si es necesario, la aplicación NFC que se ejecuta en primer plano puede evitar que se active la aplicación sin contacto predeterminada del sistema. Apple dice que Secure Enclave, la autenticación biométrica y los servidores de Apple se combinan para brindar seguridad a los pagos sin contacto. La compañía también señaló que el uso de NFC para identificaciones gubernamentales para desarrolladores será compatible en una fecha no especificada en el futuro. ¿Cómo uso NFC y SE API? Los desarrolladores que quieran crear para NFC deberán tener un acuerdo comercial con Apple. Una vez que lo hagan, pueden solicitar el derecho NFC y SE, que les da acceso a la API en iOS 18.1 y posteriores en iPhone. El derecho a utilizar esta función tiene un coste asociado. Apple ha proporcionado una guía detallada para solicitar acceso a la plataforma NFC y SE y diseñar una aplicación NFC en el iPhone.