Non solo le app bancarie: ora i malware stanno adocchiando anche i chip NFC, quelli che ci permettono di pagare passando il cellulare sopra il POS. Ma l’ultimo malware individuato di recente, NGate, non si limita solo a violare la sicurezza dei chip. È in grado addirittura di sottrarre denaro dalle carte di pagamento, trasmettendo i dati raccolti dal chip NFC a un dispositivo controllato da un cybercriminale.
Cos’è il “nuovo” malware NGate
Come tanti altri malware raccontati, anche NGate non è proprio nuovissimo. Riferisce Bleeping Computer, la sua attività è iniziata nel novembre 2023, durante una stagione in cui progressive web apps (PWA) e WebAPKs avanzate sono state ampiamente utilizzate per rubare credenziali bancarie agli utenti della Repubblica Ceca.
Rispetto però a questi ultimi, NGate è molto più “diabolico”, perché può permettere agli hacker di emulare le carte delle vittime, in modo da poter effettuare pagamenti non autorizzati o addirittura prelevare contanti dagli sportelli automatici.
E questo iniziando (come sempre) dal malvertising. Ovvero chiamate automatiche con messaggi preregistrati o annunci pubblicitari malevoli che convincono la vittima di turno a installare una PWA dannosa, che come al solito viene presentata come un aggiornamento di sicurezza urgente o con l’icona e l’interfaccia di accesso ufficiale della banca.
Come NGate attacca i chip NFC
Una volta installata la falsa app, essa non richiede permessi specifici ma sfrutta l’API del browser web per accedere ai componenti hardware del dispositivo. Dopo, la vittima viene indotta a installare NGate, avviando così la seconda fase dell’attacco.
Il malware attiva un componente open-source chiamato “NFCGate”, sviluppato originariamente per test e sperimentazioni NFC. Questo strumento permette di catturare, trasmettere e replicare i dati NFC, anche senza la necessità di un dispositivo con privilegi “speciali”. Riferisce Bleeping Computer, NFCGate in NGate può essere utilizzato per scansionare e catturare i dati delle carte anche all’interno di portafogli e zaini.
In sintesi, NGate utilizza NFCGate per raccogliere i dati NFC dalle carte di pagamento in prossimità del dispositivo infetto, trasmettendoli al dispositivo del criminale, direttamente o tramite un server. Il cybercriminale può salvare questi dati come una carta virtuale sul proprio dispositivo e utilizzarli per effettuare pagamenti presso i punti vendita o per prelevare contanti agli sportelli automatici.
Nel caso del prelievo da bancomat, il cybercriminale sfrutta l’ingenuità della vittima per ottenere il codice PIN della carta dall’app bancaria. Dopo la prima fase, infatti, questi può arrivare addirittura a contattare la vittima, fingendosi impiegato della banca e informandola di un presunto incidente di sicurezza. Successivamente, invia un SMS con un link per scaricare NGate, presentandolo come un’app per verificare la carta di pagamento e il PIN. Una volta che la vittima inserisce il PIN nell’interfaccia di phishing del malware, l’informazione finisce nelle mani del criminale.
Come proteggersi da questo malware
Fortunatamente, secondo un portavoce di Google, Google Play Protect, il sistema di protezione malware predefinito di Android, rileva NGate, proteggendo automaticamente gli utenti dalle versioni conosciute di questo malware.
Ma se vogliamo mitigare del tutto il rischio, è consigliabile disattivare il chip NFC del dispositivo se non si utilizza attivamente. Su Android, si può fare andando su Impostazioni > Dispositivi collegati > Preferenze di connessione > NFC e disattivando l’interruttore.
Se si ha bisogno di tenere attivo l’NFC, è importante controllare attentamente i permessi delle app. E limitare l’accesso solo a quelle che ne hanno effettivamente bisogno, installando le app bancarie solo dal sito ufficiale dell’istituto o da Google Play.
