El malware de Android roba datos de tarjetas de pago utilizando técnicas nunca antes vistas

6 min read

El malware Android recientemente descubierto roba información de tarjetas de pago utilizando el lector NFC de un dispositivo infectado y la pasa a los atacantes. Esta es una nueva técnica que puede clonar tarjetas de manera eficiente. Para poder ser utilizado en cajeros automáticos o terminales de puntos de venta, dijo la firma de seguridad ESET, los investigadores de ESET llamaron al malware NGate porque integra NFCGate, una herramienta de código abierto para capturar, analizar o alterar información de tráfico que es una abreviatura de NFC. Comunicación de campo cercano: NFC es un protocolo que permite que dos dispositivos se comuniquen de forma inalámbrica a distancias cortas. Nuevo escenario de ataque a Android “Este es un nuevo escenario de ataque a Android y es la primera vez que lo vemos con malware para Android con esta capacidad. ampliamente utilizado”, dijo el investigador de ESET Lukas Stefanko en un video que demuestra el descubrimiento. “El malware NGate puede transmitir datos NFC desde la tarjeta de una víctima a través de un dispositivo comprometido al teléfono inteligente del atacante. Puede duplicar tarjetas y retirar dinero de cajeros automáticos”. Lucas Stefanko: Exponiendo NGate El malware se instala a través de escenarios de phishing tradicionales, como enviar un mensaje al atacante objetivo y engañarlo. Instale NGate desde un dominio de corta duración haciéndose pasar por un banco o. una aplicación oficial de banca móvil disponible en Google Play. NGate se hace pasar por una aplicación legítima para el banco objetivo. Solicita al usuario que ingrese la identificación del cliente del banco, la fecha de nacimiento y el código PIN asociado con la tarjeta. La aplicación pide a los usuarios que activen NFC y escaneen su tarjeta. ESET dijo que descubrió que tres bancos checos habían utilizado NGate desde noviembre e identificó seis aplicaciones NGate distintas en circulación de fuentes ajenas a Google Play durante ese tiempo. este año Algunas de las aplicaciones utilizadas en la campaña meses después llegaron en forma de PWA, siglas de Progressive Web Apps, que, como se informó el jueves, se pueden instalar tanto en dispositivos Android como iOS, aunque la configuración (obligatoria en iOS) será impedir la instalación de la aplicación. Disponible de fuentes no oficiales La razón más probable por la que la campaña NGate terminó en marzo, dijo ESET, fue el arresto por parte de la policía checa de un joven de 22 años que, según dijeron, llevaba una máscara mientras retiraba dinero de un cajero automático en Praga. Los investigadores dicen que el sospechoso tiene Stefanko y el investigador de ESET Jakub Osmani explicaron el método del ataque: Un anuncio de la policía checa revela las circunstancias del ataque. Para empezar, el atacante envía un mensaje SMS a la víctima sobre una declaración de impuestos. Esto incluye enlaces a sitios web de phishing que se hacen pasar por bancos. Estos enlaces suelen conducir a PWA maliciosas. Cuando la víctima instala la aplicación e ingresa sus credenciales Entonces el atacante podrá acceder a la cuenta de la víctima. Luego, el ladrón llamó a la víctima y le dijo que era un empleado del banco. Se notificó a las víctimas que sus cuentas habían sido comprometidas. Esto puede deberse al mensaje anterior. El atacante realmente dice la verdad: la cuenta de la víctima ha sido comprometida. Pero este hecho lleva a otra mentira para “proteger” su dinero. Se pidió a las víctimas que cambiaran su PIN y verificaran su tarjeta bancaria usando una aplicación móvil: el malware NGate. Se envió un enlace para descargar NGate por SMS. Sospechamos que dentro de la aplicación NGate, las víctimas ingresarían su antiguo PIN para generar uno nuevo. y coloque la tarjeta en la parte posterior de su teléfono inteligente para verificar o aplicar cambios. Esto se debe a que el atacante tiene acceso a la cuenta comprometida. Luego pueden cambiar el límite de retiro. Si el método de reenvío NFC no funciona, pueden transferir los fondos a otra cuenta. Sin embargo, el uso de NGate facilita que los atacantes obtengan acceso a los fondos de las víctimas. sin dejar ningún rastro hasta la propia cuenta bancaria del atacante. En la Figura 6 se muestra un diagrama de la secuencia del ataque. Ampliar / Descripción general del ataque NGateESET Los investigadores dijeron que NGate o una aplicación similar podría usarse en otras situaciones, como clonar algunas tarjetas inteligentes utilizadas para otros fines. El ataque funciona copiando el ID único de una etiqueta NFC, abreviada como UID, “durante la prueba. Hemos transmitido con éxito el UID desde una etiqueta MIFARE Classic 1K, que se usa comúnmente para boletos de transporte público, tarjetas de identificación, tarjetas de membresía o tarjetas de estudiante. y casos de uso similares”, escriben los investigadores. “Utilizando NFCGate, es posible realizar un ataque de retransmisión NFC para leer tokens NFC en una única ubicación. y acceder a diferentes ubicaciones en tiempo real simulando el UID como se muestra en la Figura 7” Ampliar / Figura 7. Un teléfono inteligente Android (derecha) que lee y reenvía el UID de un token NFC externo al dispositivo Otro (izquierda) Clonación total de ESET. Puede ocurrir en situaciones en las que un atacante tiene acceso a la tarjeta o puede leerla brevemente. tarjeta en billetera Carteras, mochilas o fundas para teléfonos inteligentes desatendidas que contengan tarjetas Para llevar a cabo y simular tales ataques. Los atacantes necesitan tener un dispositivo Android rooteado y personalizado. Los teléfonos infectados con NGate no tienen este requisito, escribió un representante de Google en un correo electrónico. “Basado en nuestra detección actual Esta aplicación de malware no se encontró en Google Play. Los usuarios de Android están protegidos automáticamente contra versiones conocidas de malware con Google Play Protect, que está activado de forma predeterminada en los dispositivos Android; con los servicios de Google Play, Google Play Protect puede advertir a los usuarios o bloquear aplicaciones conocidas. exhibir un comportamiento malicioso. Incluso si esas aplicaciones provienen de fuentes fuera de Play.

You May Also Like

More From Author

+ There are no comments

Add yours