I ricercatori di ESET hanno scoperto una sofisticata campagna di cybercrime mirata ai clienti di tre banche della Repubblica Ceca. Il fulcro di questa campagna è un nuovo malware Android chiamato NGate, che presenta una caratteristica unica: la capacità di reindirizzare i dati delle carte di credito delle vittime attraverso un’app malevola installata sui loro dispositivi Android, inviandoli direttamente allo smartphone Android dell’attaccante.

L’obiettivo principale di questa campagna era facilitare prelievi non autorizzati dai conti bancari delle vittime. Il malware NGate sfruttava la tecnologia near field communication (NFC) per reindirizzare i dati delle carte di pagamento fisiche delle vittime attraverso gli smartphone Android compromessi verso il dispositivo dell’attaccante. Questi dati venivano poi utilizzati per effettuare transazioni bancomat non autorizzate. In caso di fallimento, gli attaccanti avevano predisposto un piano alternativo per trasferire fondi dai conti delle vittime ad altri conti bancari.

nfc

Lukáš Štefanko, Senior Malware Researcher di ESET, ha sottolineato l’unicità di questa tecnica di reindirizzamento NFC, mai vista prima in altri malware Android. La tecnica si basa su uno strumento chiamato NFCGate, originariamente sviluppato da studenti del Politecnico di Darmstadt in Germania per scopi di ricerca sulla sicurezza NFC. Le vittime sono state indotte a scaricare e installare il malware attraverso una sofisticata campagna di ingegneria sociale. Gli attaccanti si sono finti rappresentanti delle banche delle vittime, convincendole che i loro dispositivi fossero già compromessi. In realtà, le vittime stavano inconsapevolmente compromettendo i propri dispositivi Android scaricando e installando un’app da un link contenuto in un messaggio SMS ingannevole, che prometteva un potenziale rimborso fiscale.

È importante notare che NGate non è mai stato disponibile nel Google Play Store ufficiale, ma veniva distribuito attraverso domini di breve durata che imitavano siti web bancari legittimi o applicazioni bancarie mobili ufficiali. La campagna è stata attiva da novembre 2023, ma ESET ritiene che le attività siano state sospese dopo l’arresto di un sospetto a marzo 2024. Gli attaccanti hanno mostrato una notevole evoluzione nelle loro tattiche. Inizialmente, hanno sfruttato il potenziale delle Progressive Web Apps (PWA), per poi passare a una versione più sofisticata nota come WebAPKs. Infine, hanno distribuito il malware NGate, rappresentando l’apice della loro operazione.

Una volta installato e aperto, NGate mostra un sito web falso che richiede le informazioni bancarie dell’utente, le quali vengono poi inviate al server dell’attaccante. Oltre al reindirizzamento dei dati NFC, gli attaccanti avrebbero potuto teoricamente copiare ed emulare le carte di pagamento, ad esempio leggendole attraverso borse o portafogli in luoghi affollati, ma questo metodo sarebbe stato limitato a pagamenti contactless di piccola entità.