El ingenio de los ciberdelincuentes se agudiza. Sus técnicas se perfeccionan y son capaces de generar un mayor impacto sobre sus víctimas. El nuevo malware, descubierto por los investigadores de la empresa de ciberseguridad, ESET, es NGate. Su objetivo es atacar a dispositivos Android para clonarle las tarjetas de pago, y así vaciar sus cuentas bancarias mediante la tecnología NFC.
Principales claves de NGate
El método de actuación de este malware es bien sencillo. Los atacantes instalan en el dispositivo de la víctima una aplicación maliciosa, normalmente mediante phishing. A partir de ese instante, las víctimas reciben un mensaje que procede de su entidad bancaria. En el mismo se les invita a descargar una hipotética aplicación oficial o a resolver un problema con su cuenta.
Una vez instalada la aplicación, NGate se encarga de capturar el tráfico NFC del dispositivo. Entonces, cuando el usuario use su teléfono para pagar con tarjeta a través de NFC, el malware interceptará todos los datos y los reenviará al dispositivo del atacante.
Desde ese preciso instante, el atacante empleará un dispositivo Android rooteado y emulará la tarjeta de la víctima para retirar dinero de un cajero o realizar comprar no autorizadas. En cualquier caso, la víctima no es consciente de que sus datos han sido robados.
El malware NGate se basa en la herramienta NFCGate, desarrollada por estudiantes de la Universidad Técnica de Darmstadt (Alemania). Se creó como herramienta de investigación para poder capturar, analizar y modificar la totalidad del tráfico NFC. Lo que no se sabía es que los ciberdelincuentes podrían utilizar esta tecnología para provocar el caos.
Puntos básicos de la investigación
Los investigadores de ESET descubrieron NGate a través de una campaña de crimeware dirigida a tres bancos checos. Según los datos obtenidos de la investigación, los ciberdelincuentes generaron un gran impacto desde su irrupción en noviembre de 2023 en la República Checa.
En concreto, han ido empleando aplicaciones web progresivas (PWA) y WebAPK maliciosas. Fue en marzo de 2024, cuando la técnica del grupo mejoró a partir del despliegue del malware para Android; NGate. Se vieron afectados clientes de hasta tres bancos distintos.
Las PWA son esencialmente un tipo de aplicación, pero a diferencia de las aplicaciones tradicionales que se descargan e instalan desde una tienda de aplicaciones, a las PWA se accede y se utilizan directamente desde un navegador web. Se construyen utilizando lenguajes de programación web comunes como HTML (para la estructura), CSS (para el diseño) y JavaScript (para la interactividad.
El simple hecho de que un malware para Android surgiese con esta capacidad y técnica tan desarrollada para robar datos bancarios de las víctimas fue completamente pionero. Tanto que las víctimas no tuvieron que rootear sus dispositivos.
Métodos de prevención ante el ataque de NGate
En todo momento, será necesario un enfoque proactivo en materia de ciberseguridad. No hay mejor método para defenderse de NGate que seguir una serie de recomendaciones básicas.
- No descargar aplicaciones desde enlaces sospechosos: Esta es la principal operatividad de NGate con la que logra infectar dispositivos. Incluso, aunque parezcan proceder de una fuente confiable, siempre será mejor acceder desde las tiendas oficiales, como Google Play.
- Verificar las comunicaciones bancarias: A la hora de recibir un mensaje procedente de un paco que solicite algún tipo de acción con carácter de urgencia, habrá que sospechar. En ese preciso instante, tendremos la obligación de contactar con nuestro banco a través de los canales oficiales para verificar la autenticidad del mensaje y de la información recibida.
- Desactivar el NFC cada vez que no se use: Parece una obviedad, pero muchos usuarios, al igual que ocurre con el Bluetooth, lo dejan activado. No hay que dejarlo encendido, especialmente si no realizas pagos con frecuencia mediante esta metodología.
- Utilizar aplicaciones de seguridad: Con la instalación de un software antivirus estaremos protegiéndonos de cualquier perturbación y otorgándole un grado de mayor confiabilidad para detectar aplicaciones maliciosas con tiempo. Suele ser una característica común la capacidad de detección de intentos de phishing.
- Actualización constante del sistema operativo: Todas las actualizaciones de software suelen incluir parches de seguridad que corrigen vulnerabilidades conocidas. Por eso, será muy importante mantenerse al tanto de cualquier novedad relativa con el sistema operativo de nuestro dispositivo y con las aplicaciones instaladas actualizadas.
Las investigaciones permitieron saber que la policía checa detuvo a un joven de 22 años que había estado robando dinero de cajeros automáticos en Praga. En el instante de su detención, poseía 160.000 coronas checas (más de 6.000 euros). El dinero recuperado fue robado a tres víctimas, de tal modo que la cantidad total sustraída sería considerablemente mayor.
Hoy es la República Checa el país afectado por este nuevo ciberataque, pero es una realidad latente que afecta a todo el mundo, debido a la digitalización y a la interconexión global.