I pagamenti NFC (near field communication) sono comodissimi: basta appoggiare la propria carta di credito/debito (o smarthphone) sul dispositivo POS e voilà, pagamento effettuato. Ma quanto è sicura questa operazione? In generale, la distanza ravvicinata richiesta per poter effettuare un pagamento NFC rende l’operazione molto più sicura rispetto ai pagamenti tradizionali… o almeno fino all’avvento di un nuovo malware: NGate.
NGate, scoperto da ESET e utilizzato in una campagna di cybercrime rivolta ai clienti di tre banche della Repubblica Ceca, è un malware per dispositivi Android che riesce, grazie alle capacità NFC degli smartphone, a clonare le carte di credito e debito, e inviare i dati così sottratti allo smartphone dell’attaccante.
L’obiettivo principale della campagna era quello di facilitare i prelievi non autorizzati presso le banche delle vittime. Tutto ciò che il criminale deve fare è indurre una vittima a scaricare un’applicazione compromessa (contenente il malware), attendere che lo smartphone della vittima entri in contatto con una carta di credito/debito, e lasciare che NGate faccia il suo lavoro, clonando i dati della carta e inviandoli al criminale.
Come NGate si infiltra negli smartphone di ignare vittime
Come fa NGate ad approdare sullo smartphone di una vittima? Con del buon vecchio social engineering.
La vittima, indotta dal criminale a credere di star comunicando con la propria banca, scarica e installa un’applicazione dal logo e interfaccia simile all’applicazione legittima della banca da un link inviato via SMS dal criminale. In seguito, il criminale richiede ulteriori informazioni alla vittima, come il pin della carta, e procede a clonare la carta di credito/debito utilizzando il malware presente nell’applicazione compromessa.
Una volta ottenuti i dati della carta di credito/debito, il criminale può utilizzare il suo smartphone dotato di connettività NFC, contenente i dati della carta clonata, per effettuare pagamenti e prelievi bancari.
“Non abbiamo mai visto questa tecnica di reindirizzamento NFC in nessun malware Android precedentemente scoperto. La tecnica si basa su uno strumento chiamato NFCGate, progettato da studenti del Politecnico di Darmstadt, in Germania, per catturare, analizzare o alterare il traffico NFC; per questo abbiamo chiamato questa nuova famiglia di malware NGate”, ha affermato Lukáš Štefanko, Senior Malware Researcher di ESET che ha scoperto la nuova minaccia.
Ora il regno di terrore è finito, grazie alle ricerche di ESET
ESET ha identificato per la prima volta il malware NGate nel novembre 2023, e ritiene che le attività criminali siano state sospese dopo l’arresto di un sospetto a marzo 2024.
Dalle analisi compiute dall’azienda, risulta che il malware fosse stato distribuito tramite domini di breve durata che simulavano siti web bancari legittimi o applicazioni bancarie mobili ufficiali disponibili nel Google Play Store.
Le campagne di cybercrime erano però in corso ben da prima che esistesse NGate. ESET ha infatti scoperto che i criminali hanno sfruttato inizialmente il potenziale delle Progressive Web Apps (PWA), ossia pagine web che si comportano come app, solo per poi affinare le proprie strategie utilizzando una versione più sofisticata di PWA conosciuta come WebAPKs. Alla fine, l’operazione è culminata nel dispiegamento del malware NGate.
Come proteggersi da minacce come NGate?
Nonostante la campagna cybercriminale ceca sia ormai giunta al termine, NGate e malware simili continuano a rappresentare una grave minaccia a livello globale. Per proteggersi da questo tipo di attacco, ESET fornisce dei consigli utili da adottare, che vi riportiamo in seguito.
Ricordiamoci sempre di verificare l’autenticità dei siti web che visitiamo, soprattutto quando richiedono informazioni sensibili, come dati bancari. Questo può essere fatto controllando l’URL per assicurarsi che il sito non sia una versione falsa di uno autentico.
Simile all’accorgimento di prima è quello di scaricare applicazioni solo da fonti ufficiali, come il Google Play Store. Questa precauzione riduce significativamente il rischio di installare software dannosi senza saperlo.
Non dimentichiamoci di attivare le funzionalità di sicurezza presenti nei nostri dispositivi o utilizzare applicazioni terze (controllando la loro provenienza!) che possono bloccare il download e l’installazione di software indesiderati e malware, come NGate.
Ricordiamoci di disattivare la funzione NFC sui dispositivi quando non è necessaria. Questo aiuta a prevenire l’accesso non autorizzato o il trasferimento di dati tramite NFC. Consideriamo anche di utilizzare custodie o protezioni per carte con identificazione a radiofrequenza (RFID), che creano una barriera che blocca le scansioni RFID indesiderate, impedendo a chiunque di rubare i dati NFC dalla carta.
Infine, cerchiamo di preferire le versioni digitali delle carte rispetto a quelle fisiche. Le carte virtuali sono memorizzate in modo sicuro sul dispositivo e possono essere protette da misure di sicurezza aggiuntive, come l’autenticazione biometrica, rendendole una soluzione più sicura e comoda rispetto alle carte fisiche tradizionali.
Per maggiori informazioni su NGate e un’approfondita analisi tecnica, vi invitiamo a leggere la ricerca completa disponibile sul sito web di ESET.
- Giuliani, Luca (Autore)
Ultimo aggiornamento 2024-09-17 / Link di affiliazione / Immagini da Amazon Product Advertising API