El malware NGate roba datos bancarios a través de NFC

La firma de seguridad ESET informó recientemente de la existencia de un malware dirigido principalmente a los usuarios de Android, que utiliza un ataque de ingeniería social junto con tráfico NFC robado, para robar datos bancarios de los usuarios. Bautizado como Ngate, el malware permite a los atacantes desviar dinero de las cuentas bancarias de los usuarios afectados. El ataque es único en el sentido de que tiene múltiples partes móviles y, según se informa, es el primero visto en la naturaleza que integra la interceptación NFC como parte de un enfoque multifacético.

El funcionamiento del ataque es relativamente sencillo. Todo comienza convenciendo a un usuario para que instale una versión falsa de la aplicación bancaria de su elección. Esto se consigue mediante publicidad maliciosa o aplicaciones web progresivas que imitan las interfaces oficiales de Google Play y de determinadas apps bancarias para engañar a los usuarios y hacerles creer que instalan otra cosa, normalmente una actualización de seguridad crítica. Se trata de un proceso en dos partes; la primera tiene como objetivo conseguir que los usuarios concedan acceso a su hardware y a sus datos bancarios, y la segunda instala el malware propiamente dicho.

El malware se basa en un conjunto de herramientas de código abierto llamado NFCGate, que fue desarrollado por estudiantes universitarios alemanes con el objetivo de poder analizar o alterar el tráfico NFC en dispositivos anfitriones. NGate, por su parte, es una aplicación creada exclusivamente para escuchar y transmitir. Cuando el dispositivo infectado se acerca a una tarjeta bancaria habilitada para NFC, o a cualquier otra etiqueta o tarjeta habilitada para NFC en realidad, la información que se emite a través de NFC es capturada por el dispositivo y transmitida a los atacantes. A partir de ahí, pueden utilizar un dispositivo Android con privilegios de root habilitados para clonar esa salida NFC. Esto les permite engañar a un cajero automático, o a otro receptáculo NFC, haciéndoles creer que están sosteniendo esa tarjeta o etiqueta. Junto con la información bancaria robada en el primer paso, esto les permite acceder o cambiar el PIN de la víctima, y retirar dinero.

Se ha descubierto que este ataque está activo en Chequia desde al menos noviembre de 2023. Esta táctica parece haberse utilizado a escala limitada, dirigiéndose a clientes de tres bancos checos a través de seis aplicaciones falsas. Una de las personas que utilizaba el malware para robar dinero fue detenida en Praga en marzo de 2024, con el equivalente aproximado de 6.500 dólares en fondos robados encima. Su identidad y nacionalidad aún no han sido reveladas. El informe señala que el uso de este ataque parece haber cesado desde la detención.

Aunque ESET cree que la actividad ha cesado, no sería demasiado difícil para otro atacante recoger el mismo conjunto de herramientas y el mismo enfoque, y luego darle un lavado de cara para un nuevo público. Vale la pena señalar que no se puede encontrar ningún software que contenga este malware en particular en la tienda oficial de Google Play Store. Google lo confirmó al medio de noticias Bleeping Computer, afirmando que Google Play Protect contiene protecciones contra NGate.