«Acerca la tarjeta al móvil»: descubren un virus que vacía tarjetas de crédito vía NFC
La víctima autoriza la operación voluntariamente sin sospechar que era un fraude.
Una campaña maliciosa que se hace pasar por una actualización de la aplicación del banco, llevó a la aparición de un nuevo malware para Android, orientado al robo de datos de tarjetas bancarias mediante NFC. El ataque comienza con un sitio de phishing, creado para parecer la versión italiana de Deutsche Bank, donde se pide al usuario que introduzca su número de teléfono y luego se le ofrece instalar una «actualización» de la aplicación en forma de archivo APK.
La aplicación descargada con el nombre «deutsche.apk», tras la instalación, inicia un procedimiento falso de «verificación de la tarjeta». Se le pide al usuario acercar la tarjeta al teléfono, mantenerla junto a este durante la «autenticación» y, a continuación, introducir el PIN. En realidad, el programa lee los datos de la tarjeta por NFC mediante el estándar ISO-DEP y compila un conjunto de información que incluye el número de la tarjeta, el tipo, la etiqueta y la fecha de caducidad, tras lo cual envía esos datos a un servidor remoto.
El equipo de D3Lab que analizó la aplicación detectó la transmisión de datos por una conexión WebSocket a un nodo remoto, cuya dirección está oculta mediante ofuscación de cadenas. La estructura interna del código, la composición de los paquetes y las denominaciones usadas permitieron clasificar el malware como una nueva familia, llamada NFCShare. Ese nombre refleja su función principal: la transmisión de la información leída por NFC a recursos externos.
El informe también señala una posible conexión de la infraestructura del ataque con campañas maliciosas conocidas anteriormente. Los métodos de camuflaje utilizados, elementos de idioma chino en el código y coincidencias en la infraestructura de red acercan a NFCShare a otros troyanos móviles que emplean esquemas de relé NFC para llevar a cabo operaciones fraudulentas.
Como resultado, la víctima entrega de hecho a los atacantes todo lo necesario para transacciones no autorizadas, incluido el PIN, al creer que se trata de una verificación oficial de seguridad.