Pesquisadores de cibersegurança descobriram um novo malware Android capaz de transmitir dados de pagamento sem contato das vítimas de cartões de crédito e débito físicos para um dispositivo controlado pelo invasor, com o objetivo de realizar operações fraudulentas.
A empresa de cibersegurança eslovaca está rastreando o novo malware como NGate, afirmando ter observado a campanha de crime cibernético direcionada a três bancos na República Tcheca.
O malware “tem a capacidade única de transmitir dados de cartões de pagamento das vítimas, por meio de um aplicativo malicioso instalado em seus dispositivos Android, para o telefone Android do invasor”, disseram os pesquisadores Lukáš Štefanko e Jakub Osmani em uma análise.
A atividade faz parte de uma campanha mais ampla que foi encontrada direcionada a instituições financeiras na República Tcheca desde novembro de 2023, usando aplicativos da web progressivos (PWAs) e WebAPKs maliciosos. O primeiro uso registrado do NGate foi em março de 2024.
O objetivo final dos ataques é clonar dados de comunicação de campo próximo (NFC) de cartões de pagamento físicos das vítimas usando o NGate e transmitir as informações para um dispositivo do invasor que então emula o cartão original para sacar dinheiro de um caixa eletrônico.
O NGate tem suas raízes em uma ferramenta legítima chamada NFCGate, originalmente desenvolvida em 2015 para fins de pesquisa de segurança por alunos do Secure Mobile Networking Lab da TU Darmstadt.
As cadeias de ataque são acreditadas envolver uma combinação de engenharia social e phishing por SMS para enganar usuários a instalar o NGate, direcionando usuários a domínios de curta duração se passando por websites bancários legítimos ou aplicativos móveis de banco oficiais disponíveis na Google Play Store.
Até seis aplicativos diferentes do NGate foram identificados até agora entre novembro de 2023 e março de 2024, quando as atividades pararam provavelmente após a prisão de um jovem de 22 anos pelas autoridades tchecas em conexão com o roubo de fundos de caixas eletrônicos.
O NGate, além de abusar da funcionalidade do NFCGate para capturar tráfego NFC e passá-lo para outro dispositivo, solicita que os usuários insira informações financeiras sensíveis, incluindo ID do cliente bancário, data de nascimento e o código PIN para seu cartão bancário. A página de phishing é apresentada dentro de um WebView.
“Também pede que eles ativem o recurso NFC em seus smartphones”, disseram os pesquisadores. “Então, as vítimas são instruídas a colocar seu cartão de pagamento na parte de trás de seus smartphones até que o aplicativo malicioso reconheça o cartão.”
Os ataques adotam ainda uma abordagem insidiosa, pois as vítimas, após terem instalado o aplicativo PWA ou WebAPK por meio de links enviados via mensagens SMS, têm suas credenciais roubadas e posteriormente recebem chamadas do ator da ameaça, que se finge de funcionário do banco e informa-lhes que sua conta bancária havia sido comprometida como resultado da instalação do aplicativo.
Eles são posteriormente instruídos a alterar seu PIN e validar seu cartão bancário usando um aplicativo móvel diferente (ou seja, NGate), cujo link de instalação também é enviado por SMS. Não há evidências de que esses aplicativos foram distribuídos através da Google Play Store.
“O NGate usa dois servidores distintos para facilitar suas operações”, explicaram os pesquisadores. “O primeiro é um website de phishing projetado para atrair vítimas a fornecer informações sensíveis e capaz de iniciar um ataque de retransmissão NFC. O segundo é um servidor de retransmissão NFCGate encarregado de redirecionar o tráfego NFC do dispositivo da vítima para o do atacante.”
A divulgação ocorre enquanto o Zscaler ThreatLabz detalhou uma nova variante de um conhecido trojan bancário Android chamado Copybara que é propagado por meio de ataques de phishing por voz (vishing) e os atrai a inserir suas credenciais de conta bancária.
“Esta nova variante do Copybara está ativa desde novembro de 2023 e utiliza o protocolo MQTT para estabelecer comunicação com seu servidor de comando e controle (C2)”, disse Ruchna Nigam.
“O malware abusa do recurso de acessibilidade nativo dos dispositivos Android para exercer controle granular sobre o dispositivo infectado. Em segundo plano, o malware também procede ao download de páginas de phishing que imitam populares exchanges de criptomoedas e instituições financeiras com o uso de seus logotipos e nomes de aplicativos.”