Um novo malware para Android chamado NGate usa o chip NFC de smartphones para clonar cartões, podendo usá-los em pagamentos e saques. O ataque vai além da parte técnica, envolvendo uma boa dose de engenharia social para conseguir levar as vítimas a baixar o app infectado e fornecer as informações necessárias para as transações.
As informações foram compartilhadas pela empresa de cibersegurança Eset, em um blog post publicado nesta quarta-feira (dia 22/08). Segundo a empresa, é a primeira vez que um ataque usando NFC desta forma é detectado. Os criminosos agiam na Tchéquia (anteriormente conhecida como República Tcheca) — um deles foi preso em Praga, capital do país, após fazer vários saques em sequência.
New Android malware – #NGate – relays NFC data from victims’ payment cards, via victims’ compromised mobile phones, to attacker’s device waiting at an ATM to withdraw cashhttps://t.co/aM4v0lC6we pic.twitter.com/3MPRPe7qUB
— Lukas Stefanko (@LukasStefanko) August 22, 2024
Segundo os pesquisadores, um possível cenário para o ataque começa com mensagens de texto e ligações pré-gravadas. O objetivo deste contato é levar a vítima a instalar um aplicativo web (PWA) malicioso. Os links indicados levam a páginas que imitam a Google Play Store e sites de bancos. Os textos levam a crer que uma atualização urgente é necessária para a segurança do correntista.
O primeiro aplicativo instalado não pede permissões, já que consegue explorar a API do navegador para acessar os componentes de hardware necessários. O segundo passo é instalar um componente chamado NFCGate, desenvolvido por universidades para testar e experimentar chips de NFC, para fins de estudo e pesquisa.
Para isso, os atacantes recorrem mais uma vez à engenharia social. Um membro da quadrilha liga para a vítima e finge ser do banco, informando ao cliente que houve um incidente de segurança. O criminoso envia um link para baixar o NGate, que inclui o NFCGate. É com este componente que os criminosos conseguem obter informações de cartões próximos ao celular.
Golpistas fingem ser do banco para roubar senhas
A Eset considera algumas possibilidades de ataque a partir deste ponto. Em uma delas, o criminoso entra em contato por falsa central de atendimento e pede que o cliente troque a senha. Aí vem o truque: os responsáveis pelo ataque pedem que ele digite a senha antiga, a nova e aproxime o cartão do aparelho para gravar a mudança.
Tudo isso, na verdade, serve para roubar os dados e a senha. Estas informações são transmitidas aos golpistas, que podem clonar o sinal da aproximação. Usando outro celular Android, eles enganam maquininhas de pagamento e caixas eletrônicos.
Os pesquisadores consideram outra possibilidade: roubar dados de cartões em bolsas, mochilas ou carteiras em locais públicos, com muitas pessoas. Desse jeito, porém, os ladrões não teriam a senha, podendo fazer apenas pagamentos de pequeno valor.
A Eset considera que o método empregado usando este malware não funcionaria em cartões armazenados no Google Pay e Apple Pay, já que ambas exigem autenticação para cada pagamento usando NFC.
Os pesquisadores recomendam algumas ações para se proteger de ataques como estes:
- conferir a autenticidade de sites;
- baixar apps apenas de fontes oficiais, como a Play Store;
- manter senhas em segredo;
- desligar o NFC quando ele não está sendo usado;
- colocar cartões em carteiras com proteção contra RFID;
- usar versões digitais de cartões nas carteiras de smartphones.
Com informações: Eset, Bleeping Computer