Un malware para Android recién descubierto roba datos de tarjetas de pago utilizando el lector NFC de un dispositivo infectado y los transmite a los atacantes, una técnica novedosa que clona efectivamente la tarjeta para que pueda usarse en cajeros automáticos o terminales de punto de venta, dijo la firma de seguridad ESET. Los investigadores de ESET han llamado al malware NGate porque incorpora NFCGate, una herramienta de código abierto para capturar, analizar o alterar el tráfico NFC. NFC, abreviatura de Near-Field Communication, es un protocolo que permite que dos dispositivos se comuniquen de forma inalámbrica en distancias cortas. Nuevo escenario de ataque para Android «Este es un nuevo escenario de ataque para Android, y es la primera vez que hemos visto malware para Android con esta capacidad en uso», dijo el investigador de ESET Lukas Stefanko en un video que demuestra el descubrimiento. «El malware NGate puede transmitir datos NFC desde la tarjeta de una víctima a través de un dispositivo comprometido al teléfono inteligente de un atacante, que luego puede emular la tarjeta y retirar dinero de un cajero automático». Lukas Stefanko: desenmascarando NGate. El malware se instaló a través de escenarios tradicionales de phishing, como el atacante enviando mensajes a las víctimas y engañándolas para que instalaran NGate desde dominios de corta duración que se hacían pasar por bancos o aplicaciones oficiales de banca móvil disponibles en Google Play. Haciéndose pasar por una aplicación legítima del banco de un objetivo, NGate solicita al usuario que ingrese el ID de cliente bancario, la fecha de nacimiento y el código PIN correspondiente a la tarjeta. La aplicación continúa pidiendo al usuario que active NFC y escanee la tarjeta. ESET dijo que descubrió que NGate se estaba utilizando contra tres bancos checos a partir de noviembre e identificó seis aplicaciones NGate separadas que circularon entre esa fecha y marzo de este año. Algunas de las aplicaciones utilizadas en los últimos meses de la campaña vinieron en forma de PWAs, abreviatura de Progressive Web Apps, que como se informó el jueves se pueden instalar tanto en dispositivos Android como iOS incluso cuando la configuración (obligatoria en iOS) impide la instalación de aplicaciones disponibles de fuentes no oficiales. La razón más probable por la que la campaña NGate terminó en marzo, según ESET, fue el arresto por parte de la policía checa de un joven de 22 años al que, según dijeron, habían pillado llevando una máscara mientras retiraba dinero de los cajeros automáticos de Praga. Los investigadores dijeron que el sospechoso había «ideado una nueva forma de estafar a la gente» utilizando un esquema que parece idéntico al que involucraba a NGate. Stefanko y su colega investigador de ESET, Jakub Osmani, explicaron cómo funcionó el ataque: El anuncio de la policía checa reveló que el escenario del ataque comenzó con los atacantes enviando mensajes SMS a las víctimas potenciales sobre una declaración de impuestos, incluido un enlace a un sitio web de phishing que se hacía pasar por bancos. Estos enlaces probablemente conducían a PWA maliciosas. Una vez que la víctima instalaba la aplicación e insertaba sus credenciales, el atacante obtenía acceso a la cuenta de la víctima. Luego, el atacante llamaba a la víctima, haciéndose pasar por un empleado del banco. La víctima fue informada de que su cuenta había sido comprometida, probablemente debido al mensaje de texto anterior. El atacante en realidad estaba diciendo la verdad: la cuenta de la víctima estaba comprometida, pero esta verdad luego condujo a otra mentira. Para “proteger” sus fondos, se le pidió a la víctima que cambiara su PIN y verificara su tarjeta bancaria usando una aplicación móvil: el malware NGate. Se envió un enlace para descargar NGate por SMS. Sospechamos que dentro de la aplicación NGate, las víctimas ingresaron su PIN anterior para crear uno nuevo y colocaron su tarjeta en la parte posterior de su teléfono inteligente para verificar o aplicar el cambio. Como el atacante ya tenía acceso a la cuenta comprometida, podría cambiar los límites de retiro. Si el método de retransmisión NFC no funcionaba, simplemente podría transferir los fondos a otra cuenta. Sin embargo, el uso de NGate facilita que el atacante acceda a los fondos de la víctima sin dejar rastros de su propia cuenta bancaria. Un diagrama de la secuencia de ataque se muestra en la Figura 6. Ampliar / Descripción general del ataque NGate. Los investigadores de ESET dijeron que NGate o aplicaciones similares podrían usarse en otros escenarios, como clonar algunas tarjetas inteligentes utilizadas para otros fines. El ataque funcionaría copiando el ID único de la etiqueta NFC, abreviado como UID. “Durante nuestras pruebas, retransmitimos con éxito el UID de una etiqueta MIFARE Classic 1K, que normalmente se utiliza para billetes de transporte público, credenciales de identificación, tarjetas de socio o de estudiante y casos de uso similares”, escribieron los investigadores. “Usando NFCGate, es posible realizar un ataque de retransmisión NFC para leer un token NFC en una ubicación y, en tiempo real, acceder a las instalaciones en una ubicación diferente emulando su UID, como se muestra en la Figura 7”. Ampliar / Figura 7. Teléfono inteligente Android (derecha) que leyó y retransmitió el UID de un token NFC externo a otro dispositivo (izquierda). ESET La clonación podría ocurrir en situaciones en las que el atacante tiene acceso físico a una tarjeta o puede leer brevemente una tarjeta en carteras, billeteras, mochilas o fundas de teléfonos inteligentes desatendidas que contienen tarjetas. Para realizar y emular tales ataques, el atacante requiere tener un dispositivo Android rooteado y personalizado. Los teléfonos que fueron infectados por NGate no tenían este requisito.