Novo malware Android NGate clona cartões de pagamento via NFC

Pesquisadores de segurança cibernética descobriram um novo malware para Android, chamado NGate, que consegue capturar dados de pagamento sem contato (NFC) de cartões de crédito e débito físicos e transmiti-los para um dispositivo controlado por cibercriminosos. O objetivo final é realizar operações fraudulentas, como clonagem de cartões de pagamento e saques indevidos.

De acordo com os pesquisadores Lukáš Štefanko e Jakub Osmani, o NGate tem a capacidade única de retransmitir dados de cartões de pagamento das vítimas, através de um aplicativo malicioso instalado em seus dispositivos Android, para um telefone Android enraizado controlado pelos atacantes. Essa campanha faz parte de uma operação mais ampla, que desde novembro de 2023 tem como alvo instituições financeiras na República Tcheca, utilizando aplicativos web progressivos maliciosos (PWAs) e WebAPKs. O primeiro uso documentado do NGate ocorreu em março de 2024.

O principal objetivo dos ataques é clonar dados NFC de cartões de pagamento físicos e transmiti-los para um dispositivo dos invasores, que emula o cartão original para realizar saques em caixas eletrônicos. O NGate é baseado em uma ferramenta legítima chamada NFCGate, originalmente desenvolvida em 2015 para fins de pesquisa de segurança por estudantes da TU Darmstadt, na Alemanha.

Os ataques começam com engenharia social e phishing via SMS, onde os usuários são induzidos a instalar o NGate através de links para sites falsos que imitam bancos ou aplicativos de mobile banking. Até o momento, foram identificados seis aplicativos diferentes do NGate entre novembro de 2023 e março de 2024. As atividades foram interrompidas provavelmente após a prisão de um jovem de 22 anos pelas autoridades tchecas, acusado de roubar fundos de caixas eletrônicos.