Investigadores de ESET han desvelado una infracción de seguridad que ha afectado a clientes de tres bancos en Chequia mediante una sofisticada campaña de crimeware. El malware, denominado NGate, tiene la peculiaridad de relatar información sensible de las tarjetas de pago de las víctimas a través de una aplicación maliciosa instalada en sus dispositivos Android. Este dato es enviado al teléfono Android del atacante que ha sido previamente enraizado, permitiendo que el delincuente emule la tarjeta original y realice retiros en cajeros automáticos.
La campaña se basa en técnicas comunes como la ingeniería social, el phishing y el malware para Android, que se combinan de manera novedosa. Los atacantes parece que enviaron mensajes engañosos a números aleatorios, logrando atraer la atención de clientes de los bancos afectados. Según datos del Servicio de Inteligencia de Marca de ESET, este grupo delictivo ha estado operativo desde noviembre de 2023 en Chequia, utilizando aplicaciones web progresivas (PWAs) y WebAPKs. En marzo de 2024, mejoraron su técnica al implementar el malware NGate.
El objetivo principal de esta campaña es permitir retiros no autorizados de los cajeros automáticos a partir de los datos NFC de las tarjetas de pago de las víctimas. A través de sus dispositivos Android comprometidos, los atacantes logran leer y transmitir esta información a su propio dispositivo, lo que les permite hacer transacciones en efectivo. En caso de que este enfoque falle, los atacantes cuentan con un plan alternativo: transferir fondos desde las cuentas de las víctimas a otras cuentas bancarias.
La técnica de transmisión de datos NFC que se ha utilizado en esta campaña no se había observado previamente en el malware para Android. Este método está relacionado con una herramienta llamada NFCGate, desarrollada en la Universidad Técnica de Darmstadt, Alemania, cuya función principal es interceptar y alterar el tráfico NFC.
Los delincuentes engañaron a las víctimas para que instalaran el malware haciéndoles creer que estaban interactuando con su banco, lo que provocó que descargaran una aplicación falsa tras recibir un mensaje de texto sobre un posible reembolso de impuestos. Este ataque se destaca por el hecho de que NGate nunca estuvo disponible en la tienda oficial de Google Play.
En un avance significativo, la policía checa arrestó a un joven de 22 años que había estado robando dinero de cajeros automáticos en Praga. Durante el arresto, le fueron encontradas 160,000 coronas checas en efectivo, aproximadamente 6,500 dólares. Este incidente subraya la gravedad del fraude perpetrado y su impacto en las finanzas de las víctimas.
ESET también ha notado una evolución en los métodos utilizados por los atacantes, quienes inicialmente habían adoptado tecnologías PWA y WebAPKs, para finalmente desarrollar el malware NGate. Este malware presenta características homogéneas en todas las muestras analizadas, así como un diseño que imita las aplicaciones de banca legítimas, haciendo más difícil la identificación del fraude.
Para prevenir ataques como este, se recomienda a los usuarios que verifiquen la autenticidad de los sitios web, descarguen aplicaciones únicamente desde fuentes oficiales, mantengan en secreto sus códigos PIN, utilicen aplicaciones de seguridad en sus dispositivos y desactiven la función NFC cuando no sea necesaria. Es crucial estar atentos a las tácticas de ingeniería social y mantener robustas medidas de seguridad móvil para protegerse de futuros ataques.
Fuente: WeLiveSecurity by eSet.
