Descubrimiento reciente de malware en cajeros automáticos para Android:
En Centroamérica, el equipo de investigación de ESET ha identificado una campaña dirigida a clientes de diversos bancos con el objetivo de realizar retiros no autorizados desde cajeros automáticos. El malware NGate, utilizado en esta ocasión, tiene la capacidad de transferir información de tarjetas de pago a través de una aplicación maliciosa en el dispositivo Android de la víctima hacia el teléfono Android root del atacante.
Detalles clave revelados por ESET:
· Los atacantes han combinado diversas tácticas de ingeniería social, phishing y malware para Android en este nuevo esquema de ataque, enviando mensajes fraudulentos que se hacían pasar por bancos checos a clientes telefónicos aleatorios, afectando a usuarios de tres bancos distintos.
· Según la información de Inteligencia de ESET, el grupo inició sus operaciones en Chequia en noviembre de 2023 y a partir de marzo de 2024 mejoró sus técnicas con la implementación del malware NGate para Android.
· Los ciberdelincuentes lograron clonar los datos NFC de las tarjetas físicas de las víctimas utilizando NGate, trasladando esta información al dispositivo del atacante para que pudiera emular la tarjeta original y extraer dinero de un cajero automático.
· Es la primera vez que se identifica this malware con esta capacidad en uso real, sin requerir que los dispositivos de las víctimas estén rootados.
El malware fue descargado por las víctimas al instalar una aplicación maliciosa desde un enlace enviado en un SMS fraudulento que simulara ser del banco. Desde ESET resaltan que NGate nunca estuvo disponible en Google Play Store.
Para llevar a cabo los retiros no autorizados desde los cajeros automáticos, se transmitieron los datos NFC de las tarjetas de pago de las víctimas mediante sus dispositivos Android comprometidos con el malware NGate al dispositivo del atacante. En caso de fallo, los atacantes tenían un plan alternativo para transferir fondos a otras cuentas bancarias.
Innovadora técnica empleada por NGate:
El investigador de ESET Lukáš Štefanko, descubridor de esta amenaza, menciona que esta técnica de retransmisión NFC en malware para Android no se había visto previamente. Basada en NFCGate desarrollado por estudiantes alemanes, esta técnica llamada NGate permite transmitir datos NFC entre dispositivos, incluso en aquellos no rootados.
NGate solicita información confidencial de las víctimas, como su ID de cliente bancario, fecha de nacimiento y PIN de la tarjeta, además de activar la función NFC en sus dispositivos. Las víctimas son instruidas a colocar la tarjeta de pago en la parte posterior del teléfono hasta que la aplicación maliciosa la detecte.
Aparte de las capacidades de phishing, NGate incluye NFCGate para transmitir datos entre dispositivos. Aun siendo necesario el root en algunos casos, la transmisión NFC es posible incluso en dispositivos no rootados. Štefanko sugiere medidas proactivas contra phishing y malware, además de precauciones como desactivar NFC cuando no se utilice y usar tarjetas virtuales protegidas por autenticación.
Riesgos adicionales en la clonación de tarjetas:
Además de NGate, un atacante puede copiar y emular tarjetas físicas con acceso directo a estas. Este método podría usarse para realizar pagos sin contacto en lugares públicos y concurridos, limitándose generalmente a transacciones de montos pequeños en puntos de pago.
Para prevenir estos ataques sofisticados, se deben implementar medidas de seguridad como verificar URLs de sitios web, descargar aplicaciones solo desde tiendas oficiales, mantener los PIN en secreto, usar apps de seguridad en los dispositivos, desactivar NFC cuando no se necesite y proteger las tarjetas con fundas o autenticación en línea.