La nuova tecnica dei criminali informatici: trasferiscono i dati delle carte delle vittime sui propri telefoni
ESET ha scoperto un malware Android che trasmette il traffico NFC per rubare denaro dai bancomat utilizzando le carte delle vittime.
12punto
I ricercatori di ESET hanno scoperto una campagna di malware che ha preso di mira i clienti di tre banche ceche. Gli aggressori hanno combinato tecniche di ingegneria sociale, phishing e malware Android in un nuovo scenario di attacco.
ESET ritiene che messaggi che imitavano le banche ceche siano stati inviati a clienti di telefonia casuali in Repubblica Ceca e che, di conseguenza, i clienti delle tre banche siano caduti nella loro rete. Gli aggressori sono riusciti a clonare la carta originale copiando i dati NFC dalle carte di pagamento fisiche delle vittime e trasferendoli sul dispositivo dell'aggressore, prelevando poi denaro da un bancomat.
Il malware, che ESET ha chiamato NGate, ha la capacità unica di trasferire i dati dalle carte di pagamento delle vittime al telefono Android rootato dell'aggressore tramite un'applicazione dannosa installata sui dispositivi Android. L'obiettivo principale della campagna criminale è facilitare prelievi bancomat non autorizzati dai conti bancari delle vittime. Questa operazione illegale è stata eseguita trasferendo i dati di comunicazione in prossimità (NFC) dalle carte di pagamento fisiche delle vittime al dispositivo dell'aggressore tramite smartphone Android infettati dal malware NGate. L'aggressore ha poi utilizzato questi dati per effettuare le operazioni al bancomat. È stato inoltre accertato che, in caso di fallimento di questo metodo, l'aggressore aveva un piano di riserva per trasferire denaro dai conti delle vittime ad altri conti bancari.
Lukáš Štefanko, che ha scoperto la nuova minaccia e la tecnica, ha dichiarato: "Non abbiamo mai visto questa nuova tecnica di trasmissione NFC in nessun malware Android scoperto in precedenza. La tecnica si basa su uno strumento chiamato NFCGate, progettato dagli studenti dell'Università Tecnica di Darmstadt in Germania per catturare, analizzare o modificare il traffico NFC; per questo motivo abbiamo chiamato questa nuova famiglia di malware NGate". Le vittime sono state ingannate pensando di comunicare con la propria banca e che i loro dispositivi fossero a rischio, inducendole così a scaricare e installare il malware. In realtà, le vittime hanno compromesso involontariamente i propri dispositivi Android scaricando e installando un'applicazione tramite un link contenuto in un SMS ingannevole riguardante un potenziale rimborso fiscale.
NGATE NON È MAI STATO PRESENTE SUL GOOGLE PLAY STORE UFFICIALE
Il malware Android NGate è legato alle attività di phishing di un attore di minacce attivo in Repubblica Ceca da novembre 2023. Tuttavia, ESET ritiene che tali attività siano state sospese in seguito all'arresto di un sospettato nel marzo 2024. ESET Research ha individuato per la prima volta l'attore di minacce che prendeva di mira i clienti delle principali banche ceche alla fine di novembre 2023. Il malware è stato distribuito tramite domini a breve durata che imitavano siti web bancari legittimi o le applicazioni di mobile banking ufficiali presenti sul Google Play Store. Questi domini falsi sono stati rilevati tramite il servizio ESET Brand Intelligence, che consente di monitorare le minacce che prendono di mira il marchio di un cliente. Nello stesso mese, ESET ha informato i propri clienti dei risultati.
Come riportato in una precedente pubblicazione di ESET, gli aggressori hanno sfruttato il potenziale delle Progressive Web App (PWA), ma in seguito hanno perfezionato la loro strategia utilizzando una versione più sofisticata delle PWA, nota come WebAPK. L'operazione è culminata infine con la distribuzione del malware NGate.
Nel marzo 2024, ESET Research ha scoperto che il malware Android NGate era diventato disponibile sugli stessi domini di distribuzione utilizzati in precedenza per facilitare campagne di phishing che offrivano PWA e WebAPK dannose. Una volta installato e aperto, NGate visualizza un sito web falso che richiede le credenziali bancarie dell'utente, le quali vengono poi inviate al server dell'aggressore.
Oltre alle funzionalità di phishing, il malware NGate viene fornito con uno strumento chiamato NFCGate, utilizzato impropriamente per trasferire dati NFC tra due dispositivi (quello della vittima e quello del colpevole). Alcune di queste funzionalità funzionano solo su dispositivi rootati, ma in questo caso è possibile trasmettere il traffico NFC anche da dispositivi non rootati. NGate richiede inoltre alle vittime di inserire informazioni sensibili come ID cliente bancario, data di nascita e codice PIN della carta di credito. Chiede inoltre di attivare la funzione NFC sullo smartphone e successivamente richiede alle vittime di posizionare la propria carta di pagamento sul retro dello smartphone finché l'applicazione dannosa non riconosce la carta.
Oltre alla tecnica utilizzata dal malware NGate, un aggressore con accesso fisico alle carte di pagamento potrebbe potenzialmente clonarle e imitarle. Questa tecnica può essere utilizzata da un aggressore che tenta di leggere le carte attraverso borse, portafogli, zaini o custodie per smartphone incustoditi, specialmente in luoghi pubblici e affollati. Tuttavia, questo scenario è solitamente limitato all'effettuazione di piccoli pagamenti contactless presso i terminali.