Investigadores de ciberseguridad han descubierto un nuevo malware para Android que puede transmitir los datos de pago sin contacto de las v\u00edctimas desde tarjetas de cr\u00e9dito y d\u00e9bito f\u00edsicas a un dispositivo controlado por un atacante con el objetivo de realizar operaciones fraudulentas.<\/p>\n
La empresa eslovaca de ciberseguridad est\u00e1 rastreando el nuevo malware como NGate y afirma que observ\u00f3 la campa\u00f1a de software criminal dirigida a tres bancos en Chequia.<\/p>\n
El malware “tiene la capacidad \u00fanica de transmitir datos de las tarjetas de pago de las v\u00edctimas, a trav\u00e9s de una aplicaci\u00f3n maliciosa instalada en sus dispositivos Android, al tel\u00e9fono Android rooteado del atacante”, dijeron los investigadores Luk\u00e1\u0161 \u0160tefanko y Jakub Osmani. dicho<\/a> en un an\u00e1lisis.<\/p>\n La actividad forma parte de una campa\u00f1a m\u00e1s amplia que se ha detectado que tiene como objetivo a instituciones financieras de Chequia desde noviembre de 2023 mediante el uso de aplicaciones web progresivas (PWA) y WebAPK maliciosas. El primer uso registrado de NGate fue en marzo de 2024.<\/p>\n El objetivo final de los ataques es clonar datos de comunicaci\u00f3n de campo cercano (NFC) de las tarjetas de pago f\u00edsicas de las v\u00edctimas mediante NGate y transmitir la informaci\u00f3n a un dispositivo atacante que luego emula la tarjeta original para retirar dinero de un cajero autom\u00e1tico.<\/p>\n NGate tiene sus ra\u00edces en una herramienta leg\u00edtima llamada Puerta NFC<\/a>que fue desarrollado originalmente en 2015 con fines de investigaci\u00f3n de seguridad por estudiantes del Laboratorio de Redes M\u00f3viles Seguras de la TU Darmstadt.<\/p>\n Se cree que las cadenas de ataque involucran una combinaci\u00f3n de ingenier\u00eda social y phishing por SMS para enga\u00f1ar a los usuarios para que instalen NGate dirigi\u00e9ndolos a dominios de corta duraci\u00f3n que se hacen pasar por sitios web bancarios leg\u00edtimos o aplicaciones de banca m\u00f3vil oficiales disponibles en la tienda Google Play.<\/p>\n Hasta la fecha se han identificado hasta seis aplicaciones NGate diferentes entre noviembre de 2023 y marzo de 2024, cuando las actividades se detuvieron probablemente despu\u00e9s de detenci\u00f3n<\/a> Las autoridades checas arrestaron a un joven de 22 a\u00f1os por robar fondos de cajeros autom\u00e1ticos.<\/p>\n NGate, adem\u00e1s de abusar de la funcionalidad de NFCGate para capturar el tr\u00e1fico NFC y pasarlo a otro dispositivo, solicita a los usuarios que ingresen informaci\u00f3n financiera confidencial, incluido el ID de cliente bancario, la fecha de nacimiento y el c\u00f3digo PIN de su tarjeta bancaria. La p\u00e1gina de phishing se presenta dentro de un Vista web<\/a>.<\/p>\n “Tambi\u00e9n les pide que activen la funci\u00f3n NFC en su tel\u00e9fono inteligente”, dijeron los investigadores. “Luego, se les indica a las v\u00edctimas que coloquen su tarjeta de pago en la parte posterior de su tel\u00e9fono inteligente hasta que la aplicaci\u00f3n maliciosa la reconozca”.<\/p>\n Los ataques adoptan adem\u00e1s un enfoque insidioso en el que las v\u00edctimas, despu\u00e9s de haber instalado la aplicaci\u00f3n PWA o WebAPK a trav\u00e9s de enlaces enviados por mensajes SMS, sufren phishing de sus credenciales y posteriormente reciben llamadas del actor de la amenaza, que se hace pasar por un empleado del banco y les informa que su cuenta bancaria hab\u00eda sido comprometida como resultado de la instalaci\u00f3n de la aplicaci\u00f3n.<\/p>\n Posteriormente, se les pide que cambien su PIN y validen su tarjeta bancaria mediante una aplicaci\u00f3n m\u00f3vil diferente (por ejemplo, NGate), a la que tambi\u00e9n se les env\u00eda un enlace de instalaci\u00f3n por SMS. No hay pruebas de que estas aplicaciones se distribuyeran a trav\u00e9s de Google Play Store.<\/p>\n “NGate utiliza dos servidores distintos para facilitar sus operaciones”, explicaron los investigadores. “El primero es un sitio web de phishing dise\u00f1ado para atraer a las v\u00edctimas para que proporcionen informaci\u00f3n confidencial y capaz de iniciar un ataque de retransmisi\u00f3n NFC. El segundo es un servidor de retransmisi\u00f3n NFCGate encargado de redirigir el tr\u00e1fico NFC desde el dispositivo de la v\u00edctima al del atacante”.<\/p>\n La revelaci\u00f3n se produce cuando Zscaler ThreatLabz detall\u00f3 una nueva variante de un conocido troyano bancario de Android llamado Copybara que se propaga a trav\u00e9s de ataques de phishing de voz (vishing) y los atrae para que ingresen las credenciales de su cuenta bancaria.<\/p>\n “Esta nueva variante de Copybara ha estado activa desde noviembre de 2023 y utiliza el protocolo MQTT para establecer comunicaci\u00f3n con su servidor de comando y control (C2)”, dijo Ruchna Nigam dicho<\/a>.<\/p>\n “El malware abusa de la funci\u00f3n de servicio de accesibilidad que es nativa de los dispositivos Android para ejercer un control granular sobre el dispositivo infectado. En segundo plano, el malware tambi\u00e9n procede a descargar p\u00e1ginas de phishing que imitan a las casas de cambio de criptomonedas y a las instituciones financieras m\u00e1s populares mediante el uso de sus logotipos y nombres de aplicaciones”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/El-nuevo-malware-para-Android-NGate-roba-datos-NFC-para.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/div>\n<\/a><\/center><\/section>\n