ESET, una empresa líder en detección proactiva de amenazas, descubrió una campaña dirigida a clientes de diferentes bancos en Centroamérica con el fin de facilitar retiros no autorizados de cajeros automáticos. El malware utilizado, llamado NGate, tiene la capacidad de transmitir datos de tarjetas de pago a través de una aplicación maliciosa instalada en el dispositivo Android del usuario al teléfono Android rooteado del atacante. Los atacantes combinaron técnicas maliciosas estándar, como la ingeniería social, el phishing y el malware para Android, para llevar a cabo este ataque.
El grupo de atacantes comenzó a operar en Chequia en noviembre de 2023 y a partir de marzo de 2024 mejoraron sus técnicas utilizando el malware NGate para Android. Utilizaron este malware para clonar datos NFC de las tarjetas de pago físicas de las víctimas y retransmitirlos al dispositivo del atacante, quien luego podía emular la tarjeta original y realizar retiros de dinero en cajeros automáticos. Esta es la primera vez que se identifica este malware en uso en la naturaleza, sin que las víctimas hayan tenido sus dispositivos rooteados.
Las víctimas descargaron e instalaron el malware después de ser engañadas al pensar que se comunicaban con su banco y que su dispositivo estaba comprometido. Descargaron la aplicación maliciosa desde un enlace en un mensaje SMS engañoso sobre una posible declaración de impuestos. Desde ESET advierten que NGate nunca estuvo disponible en la tienda oficial Google Play. Las extracciones no autorizadas de cajeros automáticos se lograron retransmitiendo datos NFC de las tarjetas de pago físicas de las víctimas a través de sus dispositivos Android comprometidos.
El malware NGate también viene equipado con una herramienta llamada NFCGate, que se utiliza para transmitir datos NFC entre el dispositivo de la víctima y el dispositivo del atacante. NGate solicita a las víctimas información confidencial como su ID de cliente bancario, fecha de nacimiento y código PIN de su tarjeta bancaria. También les pide activar la función NFC en sus teléfonos inteligentes y colocar la tarjeta de pago en la parte posterior del teléfono para que la aplicación maliciosa la reconozca. Además, utilizando esta técnica, un atacante con acceso físico a las tarjetas de pago puede copiarlas y emularlas.
Para protegerse contra ataques tan complejos, es necesario utilizar medidas proactivas contra el phishing, la ingeniería social y el malware para Android. Se recomienda verificar las URL de los sitios web, descargar aplicaciones de tiendas oficiales, mantener los códigos PIN en secreto, usar aplicaciones de seguridad en los teléfonos inteligentes, desactivar la función NFC cuando no sea necesaria, utilizar fundas protectoras y tarjetas virtuales protegidas por autenticación. Lukáš Štefanko, investigador de ESET, insta a tomar precauciones para evitar ser víctima de este tipo de ataques.