Il malware Android NGate ruba denaro tramite NFC

Soprattutto con l’aumento delle transazioni digitali, la sicurezza dei dispositivi mobili è diventata una priorità crescente. Recentemente, un nuovo malware Android chiamato NGate ha attirato l’attenzione degli esperti di sicurezza ESET per la sua capacità di rubare denaro utilizzando la tecnologia NFC (Near Field Communication).

L’attività farebbe parte di una campagna più ampia individuata dal novembre 2023 e mirata a istituzioni finanziarie nella Repubblica Ceca che impiega app web progressive (PWA) e WebAPK malevoli.

Scenari di attacco

NGate è un malware sofisticato che si infiltra nei dispositivi Android attraverso applicazioni infette o link di phishing. I ricercatori ritengono infatti che le catene di attacco implichino una combinazione di ingegneria sociale e phishing tramite SMS per indurre gli utenti a installare NGate, indirizzandoli verso domini a scadenza che impersonano siti web bancari legittimi o app mobile banking ufficiali.

L’impiego del malware NGate apre la possibilità a più scenari di attacco che necessitano solo che il dispositivo dell’attaccante sia rooted. “È importante notare che in tutti gli scenari di attacco descritti qui, non è necessario che il dispositivo della vittima sia rooted, ma solo che lo sia il dispositivo dell’aggressore che emula il traffico NFC ricevuto.“, spiegano Luca Stefanko e Jakub Osmani nel rapporto ESET.

Fonte ESET

Una volta installato, il malware si nasconde nel sistema operativo e monitora le comunicazioni NFC. Quando una carta di pagamento viene avvicinata al dispositivo compromesso, NGate intercetta i dati della carta e li inoltra agli attaccanti in tempo reale.

Fonte ESET

Possibili conseguenze

NGate sfrutta la tecnologia NFC per catturare i dati delle carte di pagamento. Questa tecnica è particolarmente efficace perché molte persone utilizzano i loro smartphone per pagamenti contactless. I dati intercettati vengono immediatamente inviati agli attaccanti, che possono emulare le carte di pagamento e prelevare denaro dagli sportelli automatici ATM o effettuare acquisti online. Pertanto le vittime possono subire perdite economiche considerevoli prima di rendersi conto dell’attacco e il recupero dei fondi rubati può essere complicato e richiedere del tempo.

Come proteggersi

ESET per garantire la sicurezza da attacchi di questo tipo raccomanda alcune misure di mitigazione:

1. Assicurati che il tuo dispositivo Android sia sempre aggiornato con le ultime patch di sicurezza.

2. Utilizza un software antivirus affidabile che possa rilevare e bloccare malware come NGate.

3. Scarica applicazioni solo da fonti ufficiali come Google Play Store e verifica le recensioni e le autorizzazioni richieste.

4. Se non utilizzi frequentemente la tecnologia NFC, considera di disabilitarla dalle impostazioni del tuo dispositivo, oppure utilizza custodie protettive contro possibili scansioni RFID. 

Sebbene questa campagna sia stata focalizzata sulla Repubblica Ceca ed è attualmente sospesa, non si può escludere la possibilità di una sua espansione in altre regioni o paesi. È essenziale rimanere sempre vigili e adottare misure preventive per proteggere i propri dati e le proprie finanze.

ESET ha reso disponibile un elenco completo degli IoC (Indici di Compromissione) in un repository GitHub.

Su Salvatore Lombardo 296 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.