A empresa de segurança cibernética ESET disse que um malware recém-descoberto em execução no sistema operacional Android rouba dados de cartões de pagamento usando o leitor NFC no dispositivo infectado e os transmite aos invasores. É uma nova tecnologia que clona efetivamente o cartão para que possa ser usado. em caixas eletrônicos ou pontos de venda.
Os pesquisadores da ESET nomearam o malware NGate porque inclui… Gateway NFCuma ferramenta de código aberto para capturar, analisar ou alterar o tráfego NFC. Abreviatura de Comunicações de campo próximoNFC é um protocolo que permite que dois dispositivos se comuniquem sem fio em curtas distâncias.
Novo cenário de ataque no Android
“Este é um novo cenário de ataque para Android, e a primeira vez que vimos malware Android com esta capacidade usado em estado selvagem”, disse o pesquisador da ESET Lukasz Stefanko em um relatório. vídeo “A descoberta mostra que o malware NGate pode transferir dados NFC do cartão da vítima através de um dispositivo comprometido para o smartphone do invasor, que é então capaz de falsificar o cartão e sacar dinheiro de um caixa eletrônico.”
O malware foi instalado por meio de cenários tradicionais de phishing, como o invasor enviando mensagens aos alvos e enganando-os para que instalassem o NGate a partir de domínios de curta duração que se faziam passar por bancos ou aplicativos bancários móveis oficiais disponíveis no Google Play. O NGate se disfarça como um aplicativo legítimo do Target Bank e solicita que o usuário insira o ID do cliente do banco, a data de nascimento e o PIN do cartão correspondente. O aplicativo continua pedindo ao usuário para ativar o NFC e digitalizar o cartão.
A ESET disse que detectou o uso do NGate contra três bancos tchecos a partir de novembro e identificou seis aplicativos NGate separados em circulação entre aquela época e março deste ano. Alguns dos aplicativos usados nos últimos meses da campanha vieram na forma de Progressive Web Apps, abreviação de Aplicativos da web progressivosque conforme noticiado na quinta-feira pode ser instalado em dispositivos Android e iOS mesmo quando as configurações (obrigatórias no iOS) impedem a instalação de aplicativos disponíveis em fontes não oficiais.
A ESET disse que o motivo mais provável para o término da campanha NGate em março foi… prender prisão A polícia checa prendeu um homem de 22 anos, que teria sido apanhado a usar uma máscara enquanto levantava dinheiro num multibanco em Praga. Os investigadores disseram que o suspeito “criou uma nova maneira de roubar o dinheiro das pessoas” usando um esquema que parecia idêntico ao que envolvia o NGate.
Stefanko e seu colega pesquisador da ESET, Jacob Osmani, explicaram como o ataque funcionou:
O anúncio da polícia checa revelou que o cenário do ataque começou com os atacantes a enviar mensagens SMS a potenciais vítimas sobre uma declaração de impostos, incluindo um link para um site de phishing que se fazia passar por bancos. Esses links provavelmente levarão a aplicativos da web progressivos maliciosos. Depois que a vítima instalou o aplicativo e inseriu suas credenciais, o invasor obteve acesso à conta da vítima. O agressor então ligou para a vítima, fingindo ser funcionário do banco. A vítima foi informada de que sua conta havia sido hackeada, provavelmente devido à mensagem de texto anterior. Na verdade, o invasor estava dizendo a verdade – a conta da vítima havia sido hackeada, mas essa verdade levou a outra mentira.
Para proteger seu dinheiro, a vítima foi solicitada a alterar seu PIN e verificar seu cartão bancário usando um aplicativo móvel – malware NGate. Um link para baixar o NGate foi enviado via SMS. Suspeitamos que, no aplicativo NGate, as vítimas inseriam seu PIN antigo para criar um novo e colocavam o cartão na parte de trás do smartphone para verificar ou aplicar a alteração.
Como o invasor já tinha acesso à conta comprometida, ele poderia alterar os limites de saque. Se o método de encaminhamento NFC não funcionar, ele pode simplesmente transferir o dinheiro para outra conta. No entanto, o uso do NGate torna mais fácil para um invasor acessar os fundos da vítima sem deixar rastros na conta bancária do invasor. Um diagrama da sequência de ataque é mostrado na Figura 6.
Os pesquisadores disseram que o NGate ou aplicativos semelhantes poderiam ser usados em outros cenários, como a clonagem de alguns cartões inteligentes usados para outros fins. O ataque funcionará copiando o identificador exclusivo da tag NFC, abreviado como UID.
“Durante nossos testes, transferimos com sucesso o identificador de usuário exclusivo da etiqueta MIFARE Classic 1K, que normalmente é usada para bilhetes de transporte público, crachás de identificação, cartões de associação ou de estudante e casos de uso semelhantes”, escreveram os pesquisadores. “Usando o NFCGate, é possível realizar um ataque de transferência NFC para ler um código NFC em um local e, em tempo real, obter acesso a edifícios em um local diferente, falsificando seu ID de usuário exclusivo, conforme mostrado na Figura 7.”
As operações de clonagem podem ocorrer em situações em que um invasor consegue obter acesso físico a um cartão ou ler brevemente um cartão em bolsas, carteiras, mochilas ou capas de smartphones que contenham cartões. Para realizar e simular tais ataques, o invasor precisa de um dispositivo Android personalizado e com acesso root. Os telefones infectados com o vírus NGate não apresentavam essa condição.