La società di sicurezza ESET ha recentemente individuato un nuovo malware particolarmente sofisticato, denominato NGate, che rappresenta una minaccia senza precedenti per i dispositivi Android.
Questo malware sfrutta il lettore NFC dei dispositivi compromessi per rubare i dati delle carte di pagamento e trasmetterli direttamente agli aggressori, permettendo di clonare carte di credito e bancomat per l’utilizzo in sportelli ATM e terminali POS. È la prima volta che un malware Android dimostra tali capacità, rendendo questa scoperta particolarmente allarmante.
Phishing avanzato e diffusione tramite app bancarie false
La diffusione di NGate avviene attraverso tecniche di phishing ben consolidate. Gli aggressori inviano messaggi ingannevoli alle potenziali vittime, inducendole a scaricare l’app dannosa da domini temporanei, spesso mascherati da istituti bancari o applicazioni di mobile banking legittime.
Una volta installata, l’app si presenta come un’interfaccia bancaria autentica, richiedendo all’utente di inserire dati sensibili, come l’ID cliente, la data di nascita e il PIN della carta. Successivamente, l’app richiede l’attivazione della trasmissione NFC e la scansione della carta di pagamento, raccogliendo così tutte le informazioni necessarie per clonare la carta.
NGate: una minaccia estesa e sofisticata
Secondo i ricercatori di ESET, NGate è stato utilizzato per colpire tre istituti bancari della Repubblica Ceca a partire da novembre scorso. Tra novembre e marzo, sono state distribuite sei varianti dell’app al di fuori del Play Store, alcune delle quali in formato Progressive Web App, consentendo l’installazione su dispositivi Android e iOS anche quando le impostazioni di sicurezza bloccavano le installazioni da fonti non ufficiali.
A marzo, le autorità ceche hanno arrestato un giovane di 22 anni mentre prelevava denaro da un ATM a Praga, indossando una mascherina. Le indagini hanno rivelato che il metodo di frode utilizzato corrispondeva al modus operandi di NGate. Da quel momento, la campagna sembra essere terminata.
Potenziale pericoli futuri: non solo carte di credito
Gli esperti di ESET avvertono che il meccanismo di funzionamento di NGate potrebbe essere facilmente adattato ad altri scenari. I test condotti hanno dimostrato che è possibile trasmettere tramite NFC anche dati relativi a biglietti per il trasporto pubblico, badge di identificazione o tessere associative. Il nome NGate deriva da NFCGate, uno strumento open source utilizzato per l’analisi e l’alterazione del traffico NFC, che è stato integrato nel malware stesso.