Novo malware Android NGate rouba dados NFC para clonar cartões de pagamento sem contato

Pesquisadores de segurança cibernética descobriram um novo malware para Android que pode retransmitir dados de pagamento sem contato das vítimas, de cartões físicos de crédito e débito, para um dispositivo controlado pelo invasor, com o objetivo de conduzir operações fraudulentas.

NGate

A empresa eslovaca de segurança cibernética está rastreando o novo malware como NGate, afirmando que observou a campanha de crimeware tendo como alvo três bancos na República Tcheca.

O malware “tem a capacidade única de retransmitir dados dos cartões de pagamento das vítimas, por meio de um aplicativo malicioso instalado em seus dispositivos Android, para o telefone Android com root do invasor”, disseram os pesquisadores Lukáš Štefanko e Jakub Osmani em uma análise.

A atividade faz parte de uma campanha mais ampla que foi descoberta visando instituições financeiras na República Tcheca desde novembro de 2023 usando aplicativos da web progressivos (PWAs) e WebAPKs maliciosos. O primeiro uso registrado do NGate foi em março de 2024.

O objetivo final dos ataques é clonar dados de comunicação de campo próximo (NFC) dos cartões de pagamento físicos das vítimas usando o NGate e transmitir as informações para um dispositivo invasor que então emula o cartão original para sacar dinheiro de um caixa eletrônico.

O NGate tem suas raízes em uma ferramenta legítima chamada NFCGate , que foi desenvolvida originalmente em 2015 para fins de pesquisa de segurança por alunos do Laboratório de Redes Móveis Seguras da TU Darmstadt.

Acredita-se que as cadeias de ataque envolvam uma combinação de engenharia social e phishing por SMS para induzir os usuários a instalar o NGate, direcionando-os para domínios de curta duração que se passam por sites bancários legítimos ou aplicativos bancários móveis oficiais disponíveis na loja Google Play.

Até o momento, seis aplicativos NGate diferentes foram identificados entre novembro de 2023 e março de 2024, quando as atividades foram interrompidas provavelmente após a prisão de um jovem de 22 anos pelas autoridades tchecas por conexão com roubo de fundos de caixas eletrônicos.

O NGate, além de abusar da funcionalidade do NFCGate para capturar tráfego NFC e passá-lo para outro dispositivo, solicita que os usuários insiram informações financeiras confidenciais, incluindo ID do cliente bancário, data de nascimento e o código PIN do cartão bancário. A página de phishing é apresentada dentro de um WebView .

“Ele também pede que eles liguem o recurso NFC em seus smartphones”, disseram os pesquisadores. “Então, as vítimas são instruídas a colocar seus cartões de pagamento na parte de trás de seus smartphones até que o aplicativo malicioso reconheça o cartão.”

Os ataques adotam ainda uma abordagem insidiosa, pois as vítimas, após instalarem o aplicativo PWA ou WebAPK por meio de links enviados por mensagens SMS, têm suas credenciais roubadas e, posteriormente, recebem chamadas do agente da ameaça, que finge ser um funcionário do banco e as informa que sua conta bancária foi comprometida como resultado da instalação do aplicativo.

Eles são posteriormente instruídos a alterar seu PIN e validar seu cartão bancário usando um aplicativo móvel diferente (por exemplo, NGate), um link de instalação para o qual também é enviado por SMS. Não há evidências de que esses aplicativos foram distribuídos pela Google Play Store.

“O NGate usa dois servidores distintos para facilitar suas operações”, explicaram os pesquisadores. “O primeiro é um site de phishing projetado para atrair vítimas a fornecer informações confidenciais e capaz de iniciar um ataque de retransmissão NFC. O segundo é um servidor de retransmissão NFCGate encarregado de redirecionar o tráfego NFC do dispositivo da vítima para o do invasor.”

A divulgação ocorre no momento em que o Zscaler ThreatLabz detalhou uma nova variante de um trojan bancário conhecido para Android, chamado Copybara , que é propagado por meio de ataques de phishing de voz (vishing) e os induz a inserir suas credenciais de conta bancária.

“Esta nova variante do Copybara está ativa desde novembro de 2023 e utiliza o protocolo MQTT para estabelecer comunicação com seu servidor de comando e controle (C2)”, disse Ruchna Nigam .

“O malware abusa do recurso de serviço de acessibilidade nativo dos dispositivos Android para exercer controle granular sobre o dispositivo infectado. Em segundo plano, o malware também baixa páginas de phishing que imitam bolsas de criptomoedas e instituições financeiras populares com o uso de seus logotipos e nomes de aplicativos.”

Fontes: The Hacker News