¿Qué es el NGate? La nueva amenaza de robo de datos bancarios en dispositivos Android
Los ciberdelincuentes usan un nuevo método para robar información sensible llamado NGate, esta técnica fue descubierta por investigadores de ESET, este software malicioso tiene la capacidad de interceptar y retransmitir datos de las tarjetas de pago de las víctimas a dispositivos controlados por atacantes, utilizando dispositivos Android.
¿Qué es el NGate y cómo funciona?
NGate se destaca por su capacidad para robar datos a través de la tecnología NFC (Near Field Communication), que es comúnmente utilizada para realizar pagos sin contacto.
Los atacantes lograron clonar la información de las tarjetas de pago físicas de las víctimas y la enviaron a un dispositivo Android controlado por ellos. Este dispositivo emulaba la tarjeta original, permitiéndoles realizar retiros de dinero en cajeros automáticos sin que la víctima lo notara.
El ataque comenzaba con técnicas tradicionales de ingeniería social, como el phishing. Las víctimas eran engañadas para que instalaran aplicaciones maliciosas en sus dispositivos Android, bajo la creencia de que estaban interactuando con su banco o que sus dispositivos estaban comprometidos.
Sin saberlo, comprometían sus propios dispositivos al descargar una aplicación desde un enlace en un SMS engañoso, que a menudo hacía referencia a un supuesto reembolso de impuestos.
El NGate y su relación con la tecnología NFC
Lo que hace especialmente peligroso a NGate es su capacidad para utilizar una herramienta conocida como NFCGate, desarrollada originalmente por estudiantes de la Universidad Técnica de Darmstadt en Alemania.
NFCGate fue diseñada para capturar, analizar y retransmitir el tráfico NFC entre dispositivos. NGate abusa de esta herramienta para retransmitir los datos NFC de las tarjetas bancarias de las víctimas a dispositivos Android controlados por los atacantes.
Una vez que el malware estaba instalado, solicitaba a las víctimas que introdujeran información sensible, como su identificación bancaria, fecha de nacimiento y código PIN. Además, pedía activar la función NFC en su smartphone y colocar su tarjeta de pago en la parte trasera del dispositivo. En ese momento, los datos NFC de la tarjeta eran enviados a través de un servidor al dispositivo del atacante, permitiéndole imitar la tarjeta de la víctima y realizar transacciones en cajeros automáticos.
El malware NGate es una evolución de una campaña de cibercrimen que se originó en noviembre de 2023 en la República Checa. Los atacantes inicialmente utilizaban aplicaciones web progresivas (PWAs) y, más tarde, versiones más avanzadas conocidas como WebAPKs. Estas aplicaciones maliciosas, aunque parecían legítimas, estaban diseñadas para robar credenciales bancarias y otros datos sensibles.
[TE RECOMENDAMOS: ¡Alerta! Informe revela que menores comparten desnudos y usan IA para deepfakes]
Lo más alarmante es que NGate representa la primera vez que se observa esta técnica de retransmisión NFC en malware para Android. Hasta la fecha, las víctimas identificadas fueron principalmente clientes de tres bancos checos, lo que llevó a la detención de un sospechoso de 22 años en marzo de 2024. Las autoridades recuperaron una suma significativa de dinero, robada a través de este esquema, lo que sugiere que el impacto financiero total podría ser mucho mayor.
El malware NGate es una nueva y preocupante forma de robo de datos bancarios en dispositivos Android. Su capacidad para clonar tarjetas de pago mediante la retransmisión de datos NFC es un claro ejemplo de cómo los ciberdelincuentes están adaptando y evolucionando sus técnicas para explotar vulnerabilidades en la tecnología móvil.