A empresa de segurança cibernética ESET disse que um malware recém-descoberto em execução no sistema operacional Android rouba dados de cartões de pagamento usando o leitor NFC no dispositivo infectado e os transmite aos invasores. É uma nova tecnologia que clona efetivamente o cartão para que possa ser usado. em caixas eletrônicos ou pontos de venda.
Os pesquisadores da ESET nomearam o malware NGate porque inclui… Gateway NFCuma ferramenta de código aberto para capturar, analisar ou alterar o tráfego NFC. Abreviatura de Comunicações de campo próximoNFC é um protocolo que permite que dois dispositivos se comuniquem sem fio em curtas distâncias.
Novo cenário de ataque no Android
“Este é um novo cenário de ataque para Android, e a primeira vez que vimos malware Android com esta capacidade usado em estado selvagem”, disse o pesquisador da ESET Lukasz Stefanko em um relatório. vídeo “A descoberta mostra que o malware NGate pode transferir dados NFC do cartão da vítima através de um dispositivo comprometido para o smartphone do invasor, que é então capaz de falsificar o cartão e sacar dinheiro de um caixa eletrônico.”
Lukasz Stefanko – NGate desmascarado.
O malware foi instalado por meio de cenários tradicionais de phishing, como o invasor enviando mensagens aos alvos e enganando-os para que instalassem o NGate a partir de domínios de curta duração que se faziam passar por bancos ou aplicativos bancários móveis oficiais disponíveis no Google Play. O NGate se disfarça como um aplicativo legítimo do Target Bank e solicita que o usuário insira o ID do cliente do banco, a data de nascimento e o PIN do cartão correspondente. O aplicativo continua pedindo ao usuário para ativar o NFC e digitalizar o cartão.
A ESET disse que detectou o uso do NGate contra três bancos tchecos a partir de novembro e identificou seis aplicativos NGate separados em circulação entre aquela época e março deste ano. Alguns dos aplicativos usados nos últimos meses da campanha vieram na forma de Progressive Web Apps, abreviação de Aplicativos da web progressivosque conforme noticiado na quinta-feira pode ser instalado em dispositivos Android e iOS mesmo quando as configurações (obrigatórias no iOS) impedem a instalação de aplicativos disponíveis em fontes não oficiais.
A ESET disse que o motivo mais provável para o término da campanha NGate em março foi… prender prisão A polícia checa prendeu um homem de 22 anos, que teria sido apanhado a usar uma máscara enquanto levantava dinheiro num multibanco em Praga. Os investigadores disseram que o suspeito “criou uma nova maneira de roubar o dinheiro das pessoas” usando um esquema que parecia idêntico ao que envolvia o NGate.
Stefanko e seu colega pesquisador da ESET, Jacob Osmani, explicaram como o ataque funcionou:
O anúncio da polícia checa revelou que o cenário do ataque começou com os atacantes a enviar mensagens SMS a potenciais vítimas sobre uma declaração de impostos, incluindo um link para um site de phishing que se fazia passar por bancos. Esses links provavelmente levarão a aplicativos da web progressivos maliciosos. Depois que a vítima instalou o aplicativo e inseriu suas credenciais, o invasor obteve acesso à conta da vítima. O agressor então ligou para a vítima, fingindo ser funcionário do banco. A vítima foi informada de que sua conta havia sido hackeada, provavelmente devido à mensagem de texto anterior. Na verdade, o invasor estava dizendo a verdade – a conta da vítima havia sido hackeada, mas essa verdade levou a outra mentira.
Para proteger seu dinheiro, a vítima foi solicitada a alterar seu PIN e verificar seu cartão bancário usando um aplicativo móvel – malware NGate. Um link para baixar o NGate foi enviado via SMS. Suspeitamos que, no aplicativo NGate, as vítimas inseriam seu PIN antigo para criar um novo e colocavam o cartão na parte de trás do smartphone para verificar ou aplicar a alteração.
Como o invasor já tinha acesso à conta comprometida, ele poderia alterar os limites de saque. Se o método de encaminhamento NFC não funcionar, ele pode simplesmente transferir o dinheiro para outra conta. No entanto, o uso do NGate torna mais fácil para um invasor acessar os fundos da vítima sem deixar rastros na conta bancária do invasor. Um diagrama da sequência de ataque é mostrado na Figura 6.
Os pesquisadores disseram que o NGate ou aplicativos semelhantes poderiam ser usados em outros cenários, como a clonagem de alguns cartões inteligentes usados para outros fins. O ataque funcionará copiando o identificador exclusivo da tag NFC, abreviado como UID.
“Durante nossos testes, transferimos com sucesso o identificador de usuário exclusivo da etiqueta MIFARE Classic 1K, que normalmente é usada para bilhetes de transporte público, crachás de identificação, cartões de associação ou de estudante e casos de uso semelhantes”, escreveram os pesquisadores. “Usando o NFCGate, é possível realizar um ataque de transferência NFC para ler um código NFC em um local e, em tempo real, obter acesso a edifícios em um local diferente, falsificando seu ID de usuário exclusivo, conforme mostrado na Figura 7.”
Ampliar/ Figura 7. Um smartphone Android (direita) lendo o UID de um token NFC externo e transmitindo-o para outro dispositivo (esquerda).
ESET
As operações de clonagem podem ocorrer em situações em que um invasor consegue obter acesso físico a um cartão ou ler brevemente um cartão em bolsas, carteiras, mochilas ou capas de smartphones que contenham cartões. Para realizar e simular tais ataques, o invasor precisa de um dispositivo Android personalizado e com acesso root. Os telefones infectados com o vírus NGate não apresentavam essa condição.
