Gli esperti di ESET avevano scoperto il furto delle credenziali dei conti bancari tramite Progressive Web App (PWA). Il nuovo malware per Android, denominato NGate, viene utilizzato per lo stesso obiettivo, ma la tecnica prevede in questo caso il furto dei dati delle carte di credito tramite chip NFC. L’emulazione consente anche il prelievo cardless dagli ATM.
Furto dei dati e acquisizione PIN
L’attacco inizia con l’invio di un messaggio, un chiamata pre-registrata o malvertising che invitano l’ignara vittima ad installare un falso aggiornamento di sicurezza tramite PWA o un file WebAPK (generato da Chrome). L’app fasulla ha icona e interfaccia simile a quella ufficiale della banca. Le credenziali di login finiscono ovviamente nelle mani dei cybercriminali.
L’app, che non richiede nessun permesso, installa NGate e il tool open source NFCGate. Il malware usa quest’ultimo per catturare i dati della carta di credito che si trova nelle vicinanze dello smartphone con chip NFC. I cybercriminali creano una carta virtuale sul loro smartphone e la usano per i pagamenti tramite POS o per prelevare contante agli ATM, come si può vedere nel video:
In alcuni casi, il prelievo è possibile solo inserendo il PIN. Il cybercriminale contatta la vittima spacciandosi per un dipendente della banca. Viene quindi chiesto di inserire il PIN (come verifica) nella falsa app bancaria. Usando la carta virtuale clonata e il PIN è possibile effettuare il prelievo all’ATM.
NGate può essere usato anche per clonare biglietti, carte membership, chiavi digitali e altre tecnologie che sfruttano NFC. Se non utilizzato è sempre consigliato disattivare NFC sullo smartphone. Ovviamente le app bancarie devono essere scaricate solo dal sito ufficiale o dal Play Store. Google ha dichiarato che il malware viene rilevato e bloccato dalla funzionalità Play Protect.