Un nuevo malware para Android, denominado «NGate«, cuenta con la capacidad de robar dinero de tarjetas de crédito y débito transmitiendo la información obtenida por el chip de comunicación de campo cercano (NFC) al dispositivo de un atacante. El malware permite emular las tarjetas de las víctimas, realizando pagos no autorizados o retirando efectivo de cajeros automáticos.

Esta campaña maliciosa (activa desde noviembre de 2023) está relacionada con un informe de ESET que señala el aumento del uso de aplicaciones web progresivas (PWA) y WebAPK avanzados para robar credenciales bancarias de usuarios (en este caso, República Checa). NGate también fue utilizado en algunos casos durante esta campaña para realizar robos directos de efectivo.

Los ataques comienzan con mensajes de texto maliciosos, llamadas automáticas o publicidad engañosa que incitan a los usuarios a instalar una PWA maliciosa y, posteriormente, un WebAPK en sus dispositivos. Después se persuade a la víctima para que instale «NGate» en una segunda fase del ataque.

Estas aplicaciones se presentan como actualizaciones de seguridad urgentes, utilizando el ícono oficial y la interfaz de inicio de sesión del banco objetivo para capturar las credenciales de acceso de los clientes. No requieren permisos específicos al instalarse. En su lugar, explotan la API del navegador para obtener acceso a los componentes de hardware del dispositivo.

Una vez instalado el malware, activa un componente llamado ‘NFCGate‘. Esta herramienta permite capturar, retransmitir y clonar datos NFC en el dispositivo, y puede operar sin necesidad de que el dispositivo esté «rooteado«. NGate atrapa los datos de las tarjetas de pago cercanas al dispositivo infectado y luego los envía al dispositivo del atacante, ya sea directamente o a través de un servidor.

A continuación, el atacante puede almacenar estos datos como una tarjeta virtual y usarlos en cajeros automáticos compatibles con NFC para retirar efectivo o realizar pagos en puntos de venta.

NGate también puede clonar los identificadores únicos de ciertas tarjetas y tokens NFC para acceder a áreas restringidas.

Obtención del PIN de la tarjeta:
Tras completar el phishing a través de PWA/WebAPK, los estafadores llaman a la víctima haciéndose pasar por empleados bancarios, informándoles de un incidente de seguridad y enviándoles un enlace para descargar NGate, supuestamente una aplicación para verificar su tarjeta y PIN. Después de que la víctima las escanea en la interfaz del malware, la información se transmite al atacante, permitiéndole realizar retiros.

Google sostiene que, en sus detecciones actuales no se han encontrado aplicaciones que contengan NGate en Google Play. Google Play Protect puede advertir a los usuarios o bloquear aplicaciones que muestren comportamientos maliciosos, incluso si provienen de fuentes externas.

Fuente:

NGate: un malware para Android que intercepta el tráfico NFC para robar dinero en efectivo