A ESET, que mantém equipes de investigação em todo o mundo, identificou um novo malware chamado NGate que está sendo utilizado em uma campanha voltada para clientes de bancos. O malware permite que criminosos coletem dados NFC de cartões de pagamento através de dispositivos Android comprometidos, retransmitindo essas informações para o smartphone do atacante. Com esses dados, o criminoso pode emular o cartão e realizar saques fraudulentos em caixas eletrônicos, sem que o dispositivo da vítima precise estar roteado.
Para isso, os cibercriminosos utilizaram uma combinação de técnicas tradicionais de cibercrime, como engenharia social, phishing e malware para Android, criando um novo cenário de ataque. A ESET suspeita que mensagens de SMS fraudulentas foram enviadas, se passando por bancos da República Tcheca, para clientes aleatórios, resultando na captura de vítimas em três diferentes instituições bancárias.
De acordo com dados do Serviço de Inteligência da ESET, o grupo de cibercriminosos começou a operar em novembro de 2023 na República Tcheca e, a partir de março de 2024, aprimorou suas técnicas com a implementação do malware NGate para dispositivos Android.
Usando essa tecnologia, os criminosos conseguiram clonar dados NFC (comunicação por aproximação) de cartões físicos de pagamento das vítimas, retransmitindo-os para o dispositivo do atacante, que então emulou o cartão e realizou saques não autorizados em caixas eletrônicos. Essa é a primeira vez que um malware para Android com essa capacidade foi identificado em uso real, sem que os dispositivos das vítimas estivessem roteados.
As vítimas baixaram o malware após serem enganadas, acreditando que estavam se comunicando com seus bancos sobre uma possível declaração de imposto. Na realidade, comprometeram seus dispositivos ao baixar e instalar um aplicativo a partir de um link em um SMS fraudulento. A ESET destaca que o NGate nunca esteve disponível na loja oficial Google Play.
A extrações não autorizadas de caixas eletrônicos foram realizadas retransmitindo dados de comunicação por campo próximo (NFC) dos cartões de pagamento das vítimas, usando seus smartphones Android infectados com o NGate. Esse malware captura os dados do cartão e os envia ao dispositivo do atacante, que então simula o uso do cartão para efetuar transações. Caso essa abordagem não funcionasse, os criminosos tinham uma alternativa: transferir o dinheiro da conta da vítima para outras contas.
“Não detectamos a retransmissão de NFC em nenhum malware para Android identificado anteriormente. A técnica se baseia em uma ferramenta chamada NFCGate, criada por estudantes da Universidade Técnica de Darmstadt, na Alemanha, para capturar, analisar ou modificar o tráfego NFC. Por isso, chamamos essa nova família de malware de NGate”, explica Lukáš Štefanko, pesquisador da ESET que descobriu a ameaça.
Além de suas capacidades de phishing, o malware NGate inclui a ferramenta NFCGate, usada indevidamente para transmitir dados NFC entre o dispositivo da vítima e o do cibercriminoso. Algumas dessas funções só funcionam em dispositivos roteados, mas, nesse caso, a transmissão de tráfego NFC também foi possível em dispositivos não conectados. O NGate ainda solicitava que as vítimas inserissem dados pessoais como dados bancários, data de nascimento e o PIN do cartão. Além disso, pedia que ativassem a função NFC no celular e aproximassem o cartão para que o aplicativo malicioso pudesse capturar as informações.
Outra forma de ataque envolve a captura de dados dos cartões por proximidade física, permitindo que o criminoso, em locais movimentados, como transportes públicos ou shoppings, consiga ler as informações de cartões guardados em bolsas ou carteiras e realizar pequenos pagamentos sem a necessidade de contato direto.
“Para se proteger de ataques complexos como esses, é essencial adotar medidas proativas contra phishing, engenharia social e malware para Android. Isso inclui verificar URLs de sites, baixar apps apenas de lojas oficiais, manter o PIN do cartão em segredo, usar aplicativos de segurança no celular, desativar o NFC quando não estiver em uso e utilizar carteiras virtuais protegidas por autenticação”, orienta Štefanko.