Ayer informé que una nueva generación de ataques de phishing utiliza aplicaciones web progresivas (PWA) dirigidas específicamente a usuarios de Android, deslizando credenciales de inicio de sesión para perseguir cuentas bancarias. Una actualización del informe original dice que algunos de los mismos ataques de phishing también utilizan malware para robar información NFC, lo que les permite “clonar” teléfonos y usarlos para robar mediante pagos sin contacto y cajeros automáticos.
La configuración utiliza los mismos vectores familiares que los ataques PWA, enviando mensajes de texto y correos electrónicos masivos tratando de que los usuarios instalen una aplicación ficticia basada en la web que refleja un inicio de sesión bancario, y luego recopila esos datos para realizar transferencias ilícitas. En algunos casos observados por ESET en marzo de este año, los piratas informáticos habían utilizado las mismas técnicas para lograr que los usuarios instalaran aplicaciones basadas en la vulnerabilidad NGate NFC.
Esto les permitió duplicar los sistemas utilizados para verificar a los usuarios a través del sistema de pago NFC instalado en prácticamente todos los teléfonos inteligentes modernos e integrado en la mayoría de las tarjetas de débito y crédito. Luego podrían transferir esas credenciales a un teléfono separado y acceder a través de interfaces de toque para pagar para tiendas minoristas o cajeros automáticos.
Un sospechoso fue arrestado en Praga supuestamente haciendo exactamente eso en marzo, aparentemente usando credenciales NFC robadas para realizar retiros de efectivo de cajeros automáticos. Fue capturado con 166.000 coronas checas, aproximadamente 6.500 dólares o 6.000 euros.
El ataque detallado por ESET y Bleeping Computer es sofisticado. El malware tiene que guiar a la víctima a través de varios pasos para capturar datos NFC, incluido el escaneo de su propia tarjeta de débito con su teléfono. En ese momento, copia la autenticación NFC de la tarjeta (no del teléfono, aunque suele estar vinculado a la misma cuenta) y envía esa información al atacante.
Aunque en realidad falsificar la información NFC requiere algunas habilidades técnicas, no es necesario rootear ni modificar el teléfono de la víctima, solo comprometerlo con una aplicación maliciosa. ESET pudo recrear este ataque con teléfonos rooteados específicos.
ESET cree que la parte de los ataques de malware dirigidos específicamente a los datos NFC de los usuarios se detuvo después del arresto en marzo. Pero estas técnicas a menudo se difunden rápidamente entre los delincuentes: las herramientas NFC que se utilizan fueron desarrolladas por primera vez por estudiantes de la Universidad Técnica de Darmstadt en Alemania en 2017, y recientemente se adaptaron para el robo.
Para protegerse de este tipo de ataques, siempre sospeche de los mensajes “bancarios” o financieros de remitentes que no conoce y no siga enlaces directos en esos correos electrónicos o mensajes de texto. Si tiene algún problema con su información bancaria o fiscal, vaya al sitio correspondiente en un navegador separado para verificar, no ingrese su información de inicio de sesión en esa cadena de mensajes ni en ningún sitio vinculado. Y, por supuesto, no instales aplicaciones (o aplicaciones web progresivas) de fuentes no verificadas.