Alertas de Seguridad

ESET Research descubre NGate

Malware para Android, que retransmite tráfico NFC

[26/08/2024] Los investigadores de ESET descubrieron una campaña de crimeware dirigida a clientes de tres bancos checos. Según lo comentado en el comunicado de prensa, el malware utilizado, al que ESET ha llamado NGate, tiene la capacidad única de transmitir datos de las tarjetas de pago de las víctimas a través de una aplicación maliciosa instalada en dispositivos Android, al teléfono Android rooteado del atacante.

"El objetivo principal de esta campaña era facilitar los retiros no autorizados en cajeros automáticos de las cuentas bancarias de las víctimas. Esto se logró mediante la transmisión de datos de comunicación de campo cercano (NFC) desde las tarjetas de pago físicas de las víctimas, a través de sus teléfonos inteligentes Android comprometidos, mediante el uso del malware NGate para Android, al dispositivo del atacante. A continuación, el atacante utilizó estos datos para realizar transacciones en cajeros automáticos. Si este método fallaba, el atacante tenía un plan alternativo para transferir fondos de las cuentas de las víctimas a otras cuentas bancarias, explicó Lukáš Štefanko, quien descubrió la nueva amenaza y técnica.

El especialista comentó que no habían visto esta novedosa técnica de retransmisión NFC en ningún malware de Android descubierto anteriormente. "La técnica se basa en una herramienta llamada NFCGate, diseñada por estudiantes de la Universidad Técnica de Darmstadt, Alemania, para capturar, analizar o alterar el tráfico NFC; por lo tanto, llamamos a esta nueva familia de malware NGate".

Štefanko agregó que las víctimas descargaron e instalaron el malware después de ser engañadas haciéndoles creer que se estaban comunicando con su banco y que su dispositivo estaba comprometido. "En realidad, las víctimas habían comprometido sin saberlo sus propios dispositivos Android al descargar e instalar previamente una aplicación desde un enlace en un mensaje SMS engañoso sobre una posible declaración de impuestos.

Es importante tener en cuenta que NGate nunca estuvo disponible en la tienda oficial de Google Play.

"El malware NGate para Android está relacionado con las actividades de phishing de un actor de amenazas que opera en Chequia desde noviembre del 2023. Sin embargo, ESET cree que estas actividades quedaron en suspenso tras la detención de un sospechoso en marzo del 2024. ESET Research detectó por primera vez el actor de amenazas dirigido a clientes de destacados bancos checos a finales de noviembre del 2023. El malware se distribuyó a través de dominios de corta duración que se hacían pasar por sitios web bancarios legítimos o aplicaciones oficiales de banca móvil disponibles en la tienda Google Play. Estos dominios fraudulentos se identificaron a través del servicio ESET Brand Intelligence, que proporciona monitoreo de amenazas dirigidas a la marca de un cliente. Durante el mismo mes, ESET informó de los hallazgos a sus clientes, agregó Štefanko.

El ejecutivo indicó que los atacantes aprovecharon el potencial de las aplicaciones web progresivas (PWA, por sus siglas en inglés), como informó ESET en una publicación anterior, solo para refinar posteriormente sus estrategias mediante el empleo de una versión más sofisticada de las PWA conocidas como WebAPK. Finalmente, la operación culminó con el despliegue del malware NGate.

En marzo de 2024, ESET Research descubrió que el malware NGate para Android estaba disponible en los mismos dominios de distribución que se utilizaban anteriormente para facilitar las campañas de phishing que entregaban PWA y WebAPK maliciosos. Después de instalarse y abrirse, NGate muestra un sitio web falso que solicita la información bancaria del usuario, que luego se envía al servidor del atacante.

"Además de sus capacidades de phishing, el malware NGate también viene con una herramienta llamada NFCGate, que se utiliza indebidamente para transmitir datos NFC entre dos dispositivos: el dispositivo de una víctima y el dispositivo del perpetrador. Algunas de estas funciones solo funcionan en dispositivos rooteados; sin embargo, en este caso, la retransmisión del tráfico NFC también es posible desde dispositivos no rooteados. NGate también solicita a sus víctimas que ingresen información confidencial como su ID de cliente bancario, fecha de nacimiento y el código PIN de su tarjeta bancaria. También les pide que activen la función NFC en sus teléfonos inteligentes. Luego, se les indica a las víctimas que coloquen su tarjeta de pago en la parte posterior de su teléfono inteligente hasta que la aplicación maliciosa reconozca la tarjeta, explicó Štefanko.

Además de la técnica utilizada por el malware NGate, el investigador anotó que un atacante con acceso físico a las tarjetas de pago puede copiarlas y emularlas. Esta técnica podría ser empleada por un atacante que intente leer tarjetas a través de bolsos, billeteras, mochilas o fundas de teléfonos inteligentes desatendidos que contengan tarjetas, particularmente en lugares públicos y concurridos. Este escenario, sin embargo, generalmente se limita a realizar pequeños pagos sin contacto en puntos terminales.

"Garantizar la protección contra ataques tan complejos requiere el uso de ciertos pasos proactivos contra tácticas como el phishing, la ingeniería social y el malware de Android. Esto significa verificar las URL de los sitios web, descargar aplicaciones de las tiendas oficiales, mantener en secreto los códigos PIN, usar aplicaciones de seguridad en los teléfonos inteligentes, desactivar la función NFC cuando no sea necesaria, usar fundas protectoras o usar tarjetas virtuales protegidas por autenticación", aconsejó Štefanko.

Llegamos a ustedes gracias a:


BrandPosts Qué es BrandPost

Más »
×
Los artículos publicados en esta sección -BrandPosts- son escritos y editados por los proveedores o miembros de la comunidad TI. BrandPosts crea una oportunidad para que un patrocinador proporcione información y comentarios desde su punto de vista, directamente a la audiencia de CTOPerú. El equipo editorial de CTOPerú no participa en la redacción o edición de estos BrandPosts.

Primer contacto

Más »

Recursos

Más »