Ideias, informações e conhecimentos compartilhados pela equipe
de Investigação, Desenvolvimento e Inovação da BASE4 Security..
Ideias, informações e conhecimentos compartilhados pela equipe
de Investigação, Desenvolvimento e Inovação da BASE4 Security.
retornar
POR:
Martin Gelbort
(pesquisador e instrutor de segurança cibernética)
COMPARTILHAR
Malware NGate: explorando a funcionalidade NFC
O aumento do uso da tecnologia móvel transformou a maneira como realizamos transações financeiras, e a Near Field Communication (NFC) tornou-se um método popular para pagamentos sem contato. No entanto, essa conveniência também abriu a porta para ameaças cibernéticas sofisticadas, como o malware NGate. Descoberto no final de 2023, o NGate tem como alvo os dispositivos Android, aproveitando os recursos de NFC para roubar informações confidenciais de pagamento por meio de táticas enganosas e aplicativos mal-intencionados.
Esse malware emprega uma combinação de técnicas de phishing e métodos avançados de captura de dados para manipular os usuários e comprometer involuntariamente suas informações pessoais e financeiras. Como os criminosos cibernéticos continuam a refinar suas estratégias, compreender os mecanismos por trás do NGate e os riscos associados é fundamental para os usuários que desejam se proteger em um cenário cada vez mais digital. Este artigo analisa os detalhes operacionais desse malware, suas vulnerabilidades e as etapas essenciais que os usuários podem adotar para proteger seus dispositivos e dados confidenciais contra essa ameaça emergente.
Mecanismo operacional
1. infecção inicial por meio de phishing
• Mensagens enganosas: a fase inicial do ataque envolve o envio de mensagens de phishing, geralmente via SMS (smishing), que parecem vir de bancos legítimos. Essas mensagens geralmente contêm informações urgentes, como alertas sobre declarações de imposto de renda ou segurança da conta, o que leva os usuários a clicar nos links.
• Imitação de serviços legítimos: os links direcionam as vítimas para sites falsos que imitam de perto as plataformas bancárias oficiais, criando um senso de confiança e urgência. Essa imitação é projetada para diminuir as defesas da vítima e incentivá-la a prosseguir sem ceticismo.
2. instalação de aplicativos maliciosos
• Progressive Web Apps (PWA) e WebAPK: uma vez no site de phishing, as vítimas são solicitadas a baixar um aplicativo malicioso disfarçado de aplicativo bancário. Inicialmente, esses aplicativos eram PWAs, mas depois os invasores passaram a usar WebAPKs, que se parecem mais com aplicativos nativos e não exibem ícones do navegador, melhorando sua invisibilidade.
• Não são necessárias permissões adicionais: o processo de instalação foi projetado para não levantar suspeitas; os usuários não precisam conceder permissões extensas, facilitando a instalação do aplicativo sem perceber sua intenção maliciosa.
3. Coleta de dados
Esses são os principais tipos de dados NFC visados pelo NGate:
Informações do cartão
• Número do cartão: os principais dados capturados incluem o número do cartão (PAN - Primary Account Number), que é essencial para a realização de transações.
• Data de validade: essa é a data até a qual o cartão é válido, o que permite que os invasores garantam que o cartão possa ser usado para transações.
• Nome do titular do cartão: embora nem sempre seja necessário para transações, a captura do nome do titular do cartão pode ajudar a criar um perfil mais completo para atividades fraudulentas.
• CVV/CVC: o valor de verificação do cartão (CVV) ou o código de verificação do cartão (CVC) geralmente é capturado, se disponível, durante a comunicação NFC. Esse código é crucial para compras on-line e acrescenta uma camada adicional de segurança.
Identificadores exclusivos
• Tokens de acesso NFC: além das informações padrão do cartão de pagamento, o NGate pode capturar identificadores exclusivos associados a cartões de acesso ou tokens NFC. Esse recurso permite que os invasores clonem cartões de acesso usados em ambientes seguros.
Informações de identificação pessoal
Além dos dados NFC, o NGate também induz os usuários a inserir informações bancárias confidenciais, como:
• ID do cliente: Um identificador exclusivo atribuído pelo banco ao cliente.
• Data de nascimento: geralmente usada como pergunta de segurança ou etapa de verificação.
• Códigos PIN: o número de identificação pessoal associado ao cartão de pagamento, essencial para saques em caixas eletrônicos e transações seguras.
4. Exploração de NFC via NFCGate
Após a fase inicial de coleta de dados, as vítimas são instruídas a ativar a função NFC em seus dispositivos e colocar seus cartões de pagamento perto da parte traseira de seus smartphones para serem escaneados.
O NGate incorpora uma ferramenta chamada NFCGate, originalmente desenvolvida para análise e testes legítimos de NFC. Essa ferramenta permite que o malware capture dados de NFC de cartões de pagamento próximos. Ele pode ser executado em dispositivos com e sem raiz, embora algumas funções avançadas possam exigir acesso à raiz.
5. Captura e retransmissão de dados
Quando um cartão de pagamento é colocado próximo ao dispositivo infectado, o NGate captura informações confidenciais, como números de cartões e datas de validade, por meio do NFCGate.
Os dados NFC capturados são retransmitidos para o dispositivo de um invasor por meio de um servidor. Esse mecanismo de retransmissão permite que os invasores recebam os dados roubados em tempo real, possibilitando que eles emulem o cartão da vítima para transações não autorizadas.
6. Transações não autorizadas
Com os dados capturados, os invasores podem fazer saques não autorizados em caixas eletrônicos imitando o cartão da vítima. Eles também podem fazer pagamentos em sistemas de ponto de venda que suportam transações NFC.
Além do roubo direto de dinheiro dos caixas eletrônicos, os invasores podem usar o NGate em espaços públicos lotados para capturar dados de NFC de carteiras ou bolsas sem supervisão, destacando os riscos mais amplos associados aos dispositivos habilitados para NFC.
Medidas preventivas
Para se protegerem do NGate, os usuários podem adotar várias medidas proativas com o objetivo de melhorar a segurança do dispositivo e reduzir os riscos associados à tecnologia NFC. Veja a seguir as etapas recomendadas:
• Conscientização: conheça os sinais comuns de ataques de phishing, como mensagens não solicitadas que alegam vir de bancos ou solicitações urgentes de informações pessoais. Programas de treinamento e conscientização podem ajudar a reduzir a probabilidade de ser vítima desses golpes.
• Verifique os URLs: Sempre verifique a autenticidade dos sites antes de inserir informações confidenciais. Procure conexões seguras (HTTPS) e certifique-se de que o site seja legítimo.
• Faça download de aplicativos de fontes confiáveis: faça download apenas de aplicativos de fontes confiáveis, como a Google Play Store. Evite lojas de aplicativos de terceiros ou links fornecidos em mensagens não solicitadas.
• Use soluções de segurança móvel: use soluções abrangentes de segurança móvel que incluam recursos de detecção de malware e listas de aplicativos permitidos. Atualize regularmente esse software para garantir a proteção contra as ameaças mais recentes.
• Desative a NFC quando não estiver em uso: se a funcionalidade NFC não for essencial para suas atividades diárias, considere desativá-la em seu dispositivo. Isso reduz a superfície de ataque e limita os possíveis pontos de entrada de malware.
• Mantenha o software atualizado: certifique-se de que seus dispositivos Android estejam executando o sistema operacional e os patches de segurança mais recentes. As atualizações geralmente incluem correções para vulnerabilidades que podem ser exploradas por malware.
• Monitore a atividade do dispositivo: monitore regularmente seu dispositivo quanto a alterações inesperadas no desempenho ou ao aparecimento de aplicativos desconhecidos sem o seu conhecimento. Os sinais de infecção podem incluir o descarregamento repentino da bateria ou o uso incomum de dados.
• Implemente controles de acesso rigorosos: Sempre que possível, habilite a autenticação multifator (MFA) para contas bancárias e outras contas confidenciais para adicionar uma camada adicional de segurança contra acesso não autorizado.
• Use capas bloqueadoras de RFID: considere o uso de capas protetoras bloqueadoras de RFID para cartões de pagamento a fim de evitar a leitura não autorizada e ataques de retransmissão.
Conclusão
O surgimento do NGate destaca a evolução do cenário de ameaças cibernéticas, especialmente aquelas que visam dispositivos móveis e sistemas de pagamento, explorando a tecnologia de comunicação de campo próximo (NFC). Ao empregar táticas sofisticadas de engenharia social, como campanhas de phishing e o uso de aplicativos enganosos, o NGate engana efetivamente os usuários para que comprometam involuntariamente suas informações confidenciais. Sua capacidade de capturar e retransmitir dados de NFC sem a necessidade de acesso à raiz expande significativamente seu grupo de vítimas em potencial, tornando-o uma séria preocupação tanto para indivíduos quanto para instituições financeiras.
Os riscos associados a esse malware vão além do roubo financeiro; eles incluem violações de dados e acesso não autorizado a áreas seguras, ressaltando a necessidade de medidas de segurança robustas. Os usuários devem ficar atentos às tentativas de phishing, verificar a autenticidade de aplicativos e sites e implementar soluções de segurança abrangentes em seus dispositivos. Além disso, limitar o uso de NFC quando não for necessário e manter o software atualizado são medidas fundamentais para reduzir os riscos apresentados por esse malware.
Ao aumentar a conscientização e adotar práticas de segurança proativas, as pessoas podem se proteger melhor contra o NGate e ameaças semelhantes. Como os criminosos cibernéticos continuam a desenvolver suas táticas, a educação e a vigilância contínuas serão essenciais para proteger as informações pessoais e garantir um ambiente digital seguro.