NGate: investigadores descubren un esquema único de robo de dinero a través de NFC

Investigadores de la empresa ESET han descubierto una nueva campaña maliciosa dirigida a clientes de tres bancos checos. Los delincuentes utilizaron un software malicioso único llamado NGate, que transmitía datos de las tarjetas de pago de las víctimas a través de dispositivos Android infectados al teléfono del delincuente.

El ataque consistió en una combinación de métodos estándar de ingeniería social, phishing y malware para Android. Se cree que los estafadores enviaban mensajes a números de teléfono aleatorios, intentando atrapar a los clientes bancarios con notificaciones falsas.

Desde noviembre de 2023, el grupo de delincuentes ha utilizado activamente aplicaciones web progresivas (PWA) y WebAPK para entregar malware. Sin embargo, en marzo de 2024, se implementó una nueva tecnología: NGate, que permite copiar datos NFC de las tarjetas de pago de las víctimas y transmitirlos al dispositivo del delincuente. Esto permitió a los estafadores clonar la tarjeta y retirar dinero en cajeros automáticos.

Este tipo de ataque es el primer caso registrado de uso de malware Android con tales capacidades. Es importante señalar que los dispositivos de las víctimas no requerían rooteo para que NGate funcionara, mientras que incluso para la emulación manual de tarjetas NFC de acceso con fines domésticos en Android tradicionalmente se requiere Root.

El objetivo principal de los delincuentes era retirar dinero no autorizado de las cuentas bancarias de las víctimas a través de cajeros automáticos. Si el método NFC fallaba, los delincuentes tenían un plan de respaldo: transferir los fondos de la víctima a otras cuentas.

NGate resultó estar estrechamente relacionado con la actividad de phishing que el grupo había estado llevando a cabo desde noviembre de 2023 en la República Checa. Sin embargo, tras el arresto de un sospechoso en marzo de este año, la actividad de los delincuentes disminuyó. El hombre detenido, de 22 años, es sospechoso de robar dinero de cajeros automáticos en Praga. En el momento del arresto, se le incautaron 160.000 coronas checas (más de 6.000 euros) robadas a las últimas tres víctimas. Mientras tanto, el monto total del daño podría ser significativamente mayor.

Los delincuentes utilizaron aplicaciones web progresivas para disfrazar el malware como aplicaciones bancarias legítimas. Estas aplicaciones creaban la ilusión de una interfaz bancaria real, alentando a las víctimas a ingresar sus datos, que luego se enviaban a los servidores de los delincuentes.

Con la aparición de NGate, el ataque se volvió aún más sofisticado. El malware utilizaba una herramienta desarrollada en Alemania llamada NFCGate, que originalmente estaba destinada al análisis del tráfico NFC. NGate usaba esta herramienta para transmitir datos de las tarjetas de pago de las víctimas al dispositivo del delincuente, lo que permitía a este último usarlos para retirar dinero.

Tales ataques pueden prevenirse siguiendo algunas reglas simples: verificar la autenticidad de los sitios web, descargar aplicaciones solo de fuentes oficiales, mantener los PIN en secreto y usar aplicaciones confiables para proteger los dispositivos móviles.

Esta historia subraya la importancia de la seguridad digital y la vigilancia en nuestros tiempos. Incluso las tecnologías familiares, como NFC, pueden ser utilizadas de manera perjudicial si los usuarios no ejercen suficiente precaución. La protección de los datos personales y la prudencia siguen siendo factores clave para prevenir tales amenazas.