Allarme: il malware NGate sfrutta NFC per clonare carte di credito

La scoperta di NGate, un sofisticato malware per Android, ha sollevato molte preoccupazioni nel panorama della sicurezza informatica. Questo malware sfrutta il lettore NFC dei dispositivi per rubare i dati delle carte di pagamento e trasmetterli agli aggressori. NGate è in grado di clonare carte di credito e bancomat, permettendo agli hacker di utilizzarle presso sportelli ATM o terminali POS. La diffusione di NGate avviene principalmente tramite tecniche di phishing, in cui gli aggressori inviano messaggi alle vittime inducendole a installare un’app dannosa da domini temporanei, spacciandosi per istituti bancari o applicazioni di mobile banking.

Una volta installata, l’app si camuffa da interfaccia legittima, richiedendo l’inserimento di dati sensibili come l’ID cliente, la data di nascita e il PIN della carta. Successivamente, l’app chiede di attivare la trasmissione NFC e di scansionare la carta di pagamento inserendo il PIN. Con questi elementi, gli aggressori hanno tutto il necessario per clonare la carta dell’utente.

I ricercatori di ESET hanno rilevato che NGate è stato impiegato contro tre istituti bancari della Repubblica Ceca dallo scorso novembre. A marzo, sono state distribuite sul Play Store sei varianti dell’app, e alcune versioni di NGate sono state diffuse come Progressive Web App (PWA), un formato che consente l’installazione su dispositivi Android e iOS anche quando le impostazioni di sicurezza impediscono l’installazione di app da fonti non ufficiali.

Il Ruolo delle Progressive Web App nelle Truffe

Le Progressive Web App (PWA) stanno diventando un problema crescente nel campo della sicurezza informatica. Queste applicazioni, che saltano i controlli di sicurezza degli store ufficiali, sembrano identiche alle app legittime, rendendo difficile per l’utente accorgersi della truffa. Secondo i ricercatori di sicurezza, gli attacchi di phishing e le truffe tramite PWA si stanno intensificando, colpendo un numero sempre maggiore di persone, specialmente nei paesi dell’Est Europa.

Le truffe tramite PWA seguono uno schema comune: iniziano con una serie di banner e notifiche che partono da siti web complici, spingendo l’utente a scaricare un’app o ad aggiornare un’app già installata sul dispositivo. Un esempio tipico è il banner “Aggiorna l’app di Amazon subito per ricevere un buono da 20 euro”, che potrebbe portare l’utente a cliccare e finire su un sito che assomiglia al Play Store, ma che in realtà scarica una WebAPK, una web app impacchettata che salta ogni controllo di sicurezza.

Una volta installata, la WebAPK viene vista dal sistema come un’app legittima, con un’icona identica a quelle delle altre app installate. Questo abuso della tecnologia WebAPK permette ai malintenzionati di far installare app finte di banche, nelle quali l’utente inserisce le proprie credenziali vere. Queste credenziali vengono poi inviate a un account Telegram gestito da un team di cybercriminali che tenta di accedere al conto bancario della vittima.

Il Meccanismo di Funzionamento di NGate

NGate utilizza il chip NFC per rubare i dati delle carte di credito. L’attacco inizia con l’invio di un messaggio, una chiamata preregistrata o un malvertising che invita la vittima a installare un falso aggiornamento di sicurezza tramite una PWA o un file WebAPK di Chrome. L’app fasulla ha un’icona e un’interfaccia simili a quelle dell’app ufficiale della banca, e le credenziali di login finiscono nelle mani dei cybercriminali.

Una volta installata, l’app non richiede permessi particolari e installa NGate insieme a un tool open source chiamato NFCGate. Questo malware cattura i dati della carta di credito tramite il chip NFC dello smartphone. I cybercriminali possono quindi creare una carta virtuale sullo smartphone e utilizzarla per pagamenti tramite POS o per prelevare contante agli ATM. In alcuni casi, il prelievo è possibile solo inserendo il PIN, che viene richiesto alla vittima spacciandosi per un dipendente della banca.

NGate può essere utilizzato non solo per clonare carte di credito, ma anche per biglietti di trasporto pubblico, badge di identificazione e tessere di associazioni o istituti scolastici. Tuttavia, non è consigliato disattivare il chip NFC dello smartphone, poiché molte app bancarie richiedono questa funzionalità per operare correttamente. È invece fondamentale scaricare le app bancarie solo dal sito ufficiale o dal Play Store, dove Google ha implementato funzionalità di rilevamento e blocco del malware tramite Play Protect.

Bullet Executive Summary

In un mondo sempre più digitalizzato, la sicurezza informatica diventa una priorità. NGate rappresenta una minaccia concreta, sfruttando il modulo NFC per clonare carte di credito e bancomat. La diffusione tramite tecniche di phishing e l’uso di Progressive Web App rende questo malware particolarmente insidioso. Le PWA, che saltano i controlli di sicurezza degli store ufficiali, rappresentano un nuovo vettore di attacco che richiede una maggiore attenzione da parte degli utenti e delle aziende di sicurezza informatica.

La tecnologia NFC, sebbene utile per molte applicazioni quotidiane, può diventare un’arma a doppio taglio nelle mani dei cybercriminali. È essenziale che gli utenti siano consapevoli dei rischi e adottino misure preventive, come scaricare app solo da fonti ufficiali e mantenere aggiornati i propri dispositivi. Allo stesso tempo, le aziende di sicurezza e i produttori di smartphone devono lavorare insieme per sviluppare soluzioni più efficaci per rilevare e bloccare queste minacce.

In conclusione, la scoperta di NGate e l’aumento delle truffe tramite PWA ci ricordano l’importanza della sicurezza informatica in un mondo sempre più connesso. La tecnologia può offrirci infinite opportunità, ma è fondamentale utilizzarla in modo consapevole e responsabile per proteggere i nostri dati e la nostra privacy.