Un malware para Android descubierto por ESET Research transmite datos NFC de las tarjetas de pago al dispositivo de un delincuente y le permite extraer fondos en cajeros automáticos.
El malware utilizado, al que hemos llamado NGate, tiene la capacidad única de transmitir datos de las tarjetas de pago de las víctimas, a través de una aplicación maliciosa instalada en sus dispositivos Android, al teléfono Android rooteado del atacante.
El objetivo principal de esta campaña es facilitar la retirada no autorizada de dinero de las cuentas bancarias de las víctimas. Esto se consiguió transmitiendo los datos de comunicación de campo cercano (NFC) de las tarjetas de pago físicas de las víctimas, a través de sus smartphones Android comprometidos mediante el malware NGate Android, al dispositivo del atacante. A continuación, el atacante utilizaba estos datos para realizar transacciones en cajeros automáticos. Si este método fallaba, el atacante tenía un plan alternativo para transferir fondos de las cuentas de las víctimas a otras cuentas bancarias.
No hemos visto esta novedosa técnica de retransmisión NFC en ningún malware para Android descubierto anteriormente. La técnica se basa en una herramienta llamada NFCGate, diseñada por estudiantes de la Universidad Técnica de Darmstadt, Alemania, para capturar, analizar o alterar el tráfico NFC; por ello, hemos denominado NGate a esta nueva familia de malware.
Descripción general
Las víctimas descargaban e instalaban el malware tras ser engañadas haciéndoles creer que se estaban comunicando con su banco y que su dispositivo estaba en peligro. En realidad, las víctimas habían comprometido sin saberlo sus propios dispositivos Android al descargar e instalar previamente una aplicación desde un enlace en un mensaje SMS engañoso sobre una posible devolución de impuestos. En el siguiente vídeo se ofrece una breve descripción, en inglés, de este ataque.
Es importante señalar que NGate nunca estuvo disponible en la tienda oficial Google Play.
Desde ESET han localizado hasta seis aplicaciones NGate diferentes, que se hacían pasar por apps oficiales de tres bancos checos.
Este nuevo método de hackeo puede dar pie a que otras organizaciones criminales vuelvan a intentar ejecutar campañas con el mismo malware.
Para lograr que las víctimas instalasen en su dispositivo el malware, y que posteriormente acercasen sus tarjetas bancarias al dispositivo para que el malware pudiese leerlas, el atacante desarrolló un plan complejo de varios pasos.
En primer lugar, y como es costumbre, se utilizó phishing para suplantar a los bancos en mensajes SMS enviados a las víctimas, en los que se les alertaba de algún tipo de problema con la cuenta. A partir de ahí, se instaba a la víctima a instalar aplicaciones web progresivas (PWA) y después WebAPK, algo más avanzadas que las primeras, que suplantaban servicios legítimos del banco del afectado. El estafador, mediante llamada telefónica, convencía a la víctima de que debía cambiar el PIN y verificar su tarjeta de crédito mediante la app maliciosa.
Finalizado este proceso, el cibercriminal obtendría en su dispositivo los datos de la tarjeta de crédito de la víctima, que podría usar para robar dinero desde un cajero automático.
Prevención
Garantizar la seguridad frente a ataques tan complejos requiere el uso de ciertas medidas de protección frente a tácticas como el phishing, la ingeniería social y el malware para Android. Estos pasos incluyen:
- Comprobar la autenticidad del sitio web. Esto se puede hacer mirando la URL para asegurarse de que el sitio web no es una versión falsa de uno genuino.
- Descargar aplicaciones sólo de fuentes oficiales, como la tienda Google Play. Esta precaución reduce significativamente el riesgo de instalar software dañino sin saberlo.
- Mantener en secreto los códigos PIN de las tarjetas de pago. Esta importante información debe mantenerse a salvo en todo momento.
- Utilizar aplicaciones de seguridad en los dispositivos móviles que impidan la descarga e instalación de software potencialmente no deseado y programas maliciosos, como NGate. Estas aplicaciones de seguridad añaden una capa adicional de defensa al escanear y supervisar continuamente las amenazas.
- Desactivar la función NFC de los dispositivos cuando no se necesite. Este paso ayuda a evitar cualquier acceso no autorizado o transferencia de datos a través de NFC.
- Utilizar fundas protectoras o protectores para las tarjetas de identificación por radiofrecuencia (RFID). Al crear una barrera que bloquea los escaneos RFID no deseados, pueden impedir que alguien robe datos NFC de la tarjeta.
- Utilizar versiones digitales de las tarjetas físicas en los smartphones. Estas tarjetas virtuales se almacenan de forma segura en el dispositivo y pueden protegerse con medidas de seguridad adicionales, como la autenticación biométrica, lo que las convierte en una alternativa más segura y cómoda que las tarjetas de plástico tradicionales.
