Malware Android rouba dados de cartões de pagamento usando tecnologia nunca antes vista

A empresa de segurança cibernética ESET disse que um malware recém-descoberto em execução no sistema operacional Android rouba dados de cartões de pagamento usando o leitor NFC no dispositivo infectado e os transmite aos invasores. É uma nova tecnologia que clona efetivamente o cartão para que possa ser usado. em caixas eletrônicos ou pontos de venda.

Os pesquisadores da ESET nomearam o malware NGate porque inclui… Gateway NFCuma ferramenta de código aberto para capturar, analisar ou alterar o tráfego NFC. Abreviatura de Comunicações de campo próximoNFC é um protocolo que permite que dois dispositivos se comuniquem sem fio em curtas distâncias.

Novo cenário de ataque no Android

“Este é um novo cenário de ataque para Android, e a primeira vez que vimos malware Android com esta capacidade usado em estado selvagem”, disse o pesquisador da ESET Lukasz Stefanko em um relatório. vídeo “A descoberta mostra que o malware NGate pode transferir dados NFC do cartão da vítima através de um dispositivo comprometido para o smartphone do invasor, que é então capaz de falsificar o cartão e sacar dinheiro de um caixa eletrônico.”

Lukasz Stefanko – NGate desmascarado.

O malware foi instalado por meio de cenários tradicionais de phishing, como o invasor enviando mensagens aos alvos e enganando-os para que instalassem o NGate a partir de domínios de curta duração que se faziam passar por bancos ou aplicativos bancários móveis oficiais disponíveis no Google Play. O NGate se disfarça como um aplicativo legítimo do Target Bank e solicita que o usuário insira o ID do cliente do banco, a data de nascimento e o PIN do cartão correspondente. O aplicativo continua pedindo ao usuário para ativar o NFC e digitalizar o cartão.

A ESET disse que detectou o uso do NGate contra três bancos tchecos a partir de novembro e identificou seis aplicativos NGate separados em circulação entre aquela época e março deste ano. Alguns dos aplicativos usados ​​nos últimos meses da campanha vieram na forma de Progressive Web Apps, abreviação de Aplicativos da web progressivosque conforme noticiado na quinta-feira pode ser instalado em dispositivos Android e iOS mesmo quando as configurações (obrigatórias no iOS) impedem a instalação de aplicativos disponíveis em fontes não oficiais.

A ESET disse que o motivo mais provável para o término da campanha NGate em março foi… prender prisão A polícia checa prendeu um homem de 22 anos, que teria sido apanhado a usar uma máscara enquanto levantava dinheiro num multibanco em Praga. Os investigadores disseram que o suspeito “criou uma nova maneira de roubar o dinheiro das pessoas” usando um esquema que parecia idêntico ao que envolvia o NGate.

Stefanko e seu colega pesquisador da ESET, Jacob Osmani, explicaram como o ataque funcionou:

O anúncio da polícia checa revelou que o cenário do ataque começou com os atacantes a enviar mensagens SMS a potenciais vítimas sobre uma declaração de impostos, incluindo um link para um site de phishing que se fazia passar por bancos. Esses links provavelmente levarão a aplicativos da web progressivos maliciosos. Depois que a vítima instalou o aplicativo e inseriu suas credenciais, o invasor obteve acesso à conta da vítima. O agressor então ligou para a vítima, fingindo ser funcionário do banco. A vítima foi informada de que sua conta havia sido hackeada, provavelmente devido à mensagem de texto anterior. Na verdade, o invasor estava dizendo a verdade – a conta da vítima havia sido hackeada, mas essa verdade levou a outra mentira.

Para proteger seu dinheiro, a vítima foi solicitada a alterar seu PIN e verificar seu cartão bancário usando um aplicativo móvel – malware NGate. Um link para baixar o NGate foi enviado via SMS. Suspeitamos que, no aplicativo NGate, as vítimas inseriam seu PIN antigo para criar um novo e colocavam o cartão na parte de trás do smartphone para verificar ou aplicar a alteração.

Como o invasor já tinha acesso à conta comprometida, ele poderia alterar os limites de saque. Se o método de encaminhamento NFC não funcionar, ele pode simplesmente transferir o dinheiro para outra conta. No entanto, o uso do NGate torna mais fácil para um invasor acessar os fundos da vítima sem deixar rastros na conta bancária do invasor. Um diagrama da sequência de ataque é mostrado na Figura 6.

Visão geral do ataque NGate.
Ampliar / Visão geral do ataque NGate.

ESET

Os pesquisadores disseram que o NGate ou aplicativos semelhantes poderiam ser usados ​​em outros cenários, como a clonagem de alguns cartões inteligentes usados ​​para outros fins. O ataque funcionará copiando o identificador exclusivo da tag NFC, abreviado como UID.

“Durante nossos testes, transferimos com sucesso o identificador de usuário exclusivo da etiqueta MIFARE Classic 1K, que normalmente é usada para bilhetes de transporte público, crachás de identificação, cartões de associação ou de estudante e casos de uso semelhantes”, escreveram os pesquisadores. “Usando o NFCGate, é possível realizar um ataque de transferência NFC para ler um código NFC em um local e, em tempo real, obter acesso a edifícios em um local diferente, falsificando seu ID de usuário exclusivo, conforme mostrado na Figura 7.”

Figura 7. Um smartphone Android (direita) lendo o UID de um token NFC externo e transmitindo-o para outro dispositivo (esquerda).
Ampliar / Figura 7. Um smartphone Android (direita) lendo o UID de um token NFC externo e transmitindo-o para outro dispositivo (esquerda).

ESET

As operações de clonagem podem ocorrer em situações em que um invasor consegue obter acesso físico a um cartão ou ler brevemente um cartão em bolsas, carteiras, mochilas ou capas de smartphones que contenham cartões. Para realizar e simular tais ataques, o invasor precisa de um dispositivo Android personalizado e com acesso root. Os telefones infectados com o vírus NGate não apresentavam essa condição.

READ  As vendas de Final Fantasy 7 Rebirth ainda são baixas nos Estados Unidos, em comparação com jogos anteriores

Leave a Comment

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Scroll to Top