Un nuevo malware de Android roba los datos de tu tarjeta mientras usas el NFC
Un método inédito de robo de credenciales bancarias mediante smartphones Android vuelve a hacer sonar las alarmas, recordando la importancia de no descargar aplicaciones fraudulentas desde Internet o a través de enlaces.
La empresa de ciberseguridad ESET ha detectado una nueva forma de estafa por la que el atacante conseguía los datos de la tarjeta de crédito de sus víctimas mediante el chip NFC de sus smartphones.
El NFC es lo que permite usar el teléfono móvil para pagar en comercios, por ejemplo con Google Pay, así como recargar la tarjeta de transporte, etcétera. Con este método, que desde la firma califican de «novedoso«, se mezcla la típica táctica de phishing con el uso de un software nuevo, que desde ESET han llamado «NGate», para acceder a los datos del NFC.
NGate es una herramienta que puede interactuar con el tráfico NFC en un dispositivo. En el dispositivo donde está instalado NGate, el malware es capaz de:
- Capturar el tráfico NFC de las apps que utilizan NFC.
- Pasar o retransmitir estos datos NFC de un dispositivo a otro.
- Imitar o reproducir los datos que ha interceptado previamente, en el otro dispositivo.
«Es la primera vez que vemos un malware para Android con esta capacidad», indican desde ESET, añadiendo que no fue necesario rootear el dispositivo de la víctima. Este malware estaría basado en la herramienta NFCGate, diseñada por estudiantes de la Universidad Técnica de Darmstadt, Alemania, para capturar, analizar o alterar el tráfico NFC de un dispositivo.
Un sospechoso arrestado
Los ataques se concentraron en República Checa entre noviembre de 2023 y marzo de 2024. El cese de estos ataques coincide con la detención de un sospechoso por parte de la policía checa: un joven de 22 años que había estado robando dinero de cajeros automáticos en Praga.
Desde ESET han localizado hasta seis aplicaciones NGate diferentes, que se hacían pasar por apps oficiales de tres bancos checos.
Aunque se confirme la culpabilidad del arrestado, este nuevo método de hackeo puede dar pie a que otras organizaciones criminales vuelvan a intentar ejecutar campañas con el mismo malware.
Al momento de su detención, el sospechoso, del que no se reveló su nacionalidad, tenía en sus manos una cantidad de más de 6.000 euros. Este dinero correspondería solamente, según cree la policía, a sus tres últimas víctimas, por lo que el botín total que habrá logrado con este método podría ser mucho mayor.
Utilizó WebAPK para acceder al NFC
Para lograr que las víctimas instalasen en su dispositivo el malware, y que posteriormente acercasen sus tarjetas bancarias al dispositivo para que el malware pudiese leerlas, el atacante desarrolló un plan complejo de varios pasos.
En primer lugar, y como es costumbre, se utilizó phishing para suplantar a los bancos en mensajes SMS enviados a las víctimas, en los que se les alertaba de algún tipo de problema con la cuenta. A partir de ahí, se instaba a la víctima a instalar aplicaciones web progresivas (PWA) y después WebAPK, algo más avanzadas que las primeras, que suplantaban servicios legítimos del banco del afectado. El estafador, mediante llamada telefónica, convencía a la víctima de que debía cambiar el PIN y verificar su tarjeta de crédito mediante la app maliciosa.
Finalizado este proceso, el cibercriminal obtendría en su dispositivo los datos de la tarjeta de crédito de la víctima, que podría usar para robar dinero desde un cajero automático.