Malware usa NFC de celular Android para roubar dados de cartões

Um novo malware para Android chamado NGate usa o chip NFC de smartphones para clonar cartões, podendo usá-los em pagamentos e saques. O ataque vai além da parte técnica, envolvendo uma boa dose de engenharia social para conseguir levar as vítimas a baixar o app infectado e fornecer as informações necessárias para as transações.

As informações foram compartilhadas pela empresa de cibersegurança Eset, em um blog post publicado nesta quarta-feira (dia 22/08). Segundo a empresa, é a primeira vez que um ataque usando NFC desta forma é detectado. Os criminosos agiam na Tchéquia (anteriormente conhecida como República Tcheca) — um deles foi preso em Praga, capital do país, após fazer vários saques em sequência.

New Android malware – #NGate – relays NFC data from victims’ payment cards, via victims’ compromised mobile phones, to attacker's device waiting at an ATM to withdraw cashhttps://t.co/aM4v0lC6we pic.twitter.com/3MPRPe7qUB

— Lukas Stefanko (@LukasStefanko) August 22, 2024

Ataque usa sites falsos com apps maliciosos

Segundo os pesquisadores, um possível cenário para o ataque começa com mensagens de texto e ligações pré-gravadas. O objetivo deste contato é levar a vítima a instalar um aplicativo web (PWA) malicioso. Os links indicados levam a páginas que imitam a Google Play Store e sites de bancos. Os textos levam a crer que uma atualização urgente é necessária para a segurança do correntista.

O primeiro aplicativo instalado não pede permissões, já que consegue explorar a API do navegador para acessar os componentes de hardware necessários. O segundo passo é instalar um componente chamado NFCGate, desenvolvido por universidades para testar e experimentar chips de NFC, para fins de estudo e pesquisa.

Para isso, os atacantes recorrem mais uma vez à engenharia social. Um membro da quadrilha liga para a vítima e finge ser do banco, informando ao cliente que houve um incidente de segurança. O criminoso envia um link para baixar o NGate, que inclui o NFCGate. É com este componente que os criminosos conseguem obter informações de cartões próximos ao celular.

Golpistas fingem ser do banco para roubar senhas

A Eset considera algumas possibilidades de ataque a partir deste ponto. Em uma delas, o criminoso entra em contato por falsa central de atendimento e pede que o cliente troque a senha. Aí vem o truque: os responsáveis pelo ataque pedem que ele digite a senha antiga, a nova e aproxime o cartão do aparelho para gravar a mudança.

Tudo isso, na verdade, serve para roubar os dados e a senha. Estas informações são transmitidas aos golpistas, que podem clonar o sinal da aproximação. Usando outro celular Android, eles enganam maquininhas de pagamento e caixas eletrônicos.

Os pesquisadores consideram outra possibilidade: roubar dados de cartões em bolsas, mochilas ou carteiras em locais públicos, com muitas pessoas. Desse jeito, porém, os ladrões não teriam a senha, podendo fazer apenas pagamentos de pequeno valor.

A Eset considera que o método empregado usando este malware não funcionaria em cartões armazenados no Google Pay e Apple Pay, já que ambas exigem autenticação para cada pagamento usando NFC.

Os pesquisadores recomendam algumas ações para se proteger de ataques como estes:

• conferir a autenticidade de sites;
• baixar apps apenas de fontes oficiais, como a Play Store;
• manter senhas em segredo;
• desligar o NFC quando ele não está sendo usado;
• colocar cartões em carteiras com proteção contra RFID;
• usar versões digitais de cartões nas carteiras de smartphones.

Com informações: Eset, Bleeping Computer