Cari amici italiani amanti della tecnologia (e dei vostri risparmi), preparatevi a una storia che vi farà venire voglia di abbracciare il vostro smartphone e sussurrargli “Ti prego, non tradirmi mai”.
Un nuovo cattivo in città
I ricercatori di ESET hanno scoperto una campagna di crimeware che ha preso di mira i clienti di tre banche ceche. Il malware utilizzato, battezzato NGate (perché evidentemente i criminali informatici adorano i giochi di parole), ha una capacità unica: può trasmettere i dati delle carte di pagamento delle vittime, tramite un’app malevola installata sui loro dispositivi Android, direttamente al telefono Android rootato dell’attaccante. Sì, avete capito bene: è come se il vostro portafoglio avesse improvvisamente deciso di fare una gita non autorizzata in Repubblica Ceca.
Pillola tecnica: Cos’è un dispositivo rootato?
Un dispositivo Android rootato è come un teenager ribelle: ha accesso a privilegi di sistema che normalmente sono bloccati, permettendo di fare cose che il produttore non aveva previsto. Nel caso degli attaccanti, questo significa poter manipolare il sistema in modi creativi e potenzialmente dannosi.
L’arte dell’inganno 2.0
Gli attaccanti hanno combinato tecniche maligne standard – ingegneria sociale, phishing e malware Android – in uno scenario di attacco nuovo e brillante (se non fosse, sapete, illegale e moralmente riprovevole). Sospettiamo che i messaggi esca siano stati inviati a numeri di telefono casuali, pescando così clienti di tre banche. È un po’ come lanciare esche in un lago: prima o poi qualche pesce abbocca.
Cronologia del crimine (perché anche i cattivi hanno un curriculum)
- Da novembre 2023: il gruppo opera in Repubblica Ceca usando progressive web app (PWA) e WebAPK malevoli. Immaginate di scaricare un’app che sembra la vostra banca ma in realtà è il lupo travestito da nonna.
- Marzo 2024: il gruppo migliora la sua tecnica distribuendo il malware NGate per Android. Perché accontentarsi di rubare le credenziali quando puoi clonare l’intera carta?
Come funziona questa magia nera digitale?
- NGate riesce a clonare i dati NFC dalle carte di pagamento fisiche delle vittime.
- Questi dati vengono trasmessi a un dispositivo dell’attaccante.
- Il dispositivo dell’attaccante emula la carta originale.
- L’attaccante può prelevare denaro da un ATM come se fosse la vittima.
È la prima volta che vediamo un malware Android con questa capacità usato “in natura”. È come se il vostro smartphone si fosse improvvisamente trasformato in un illusionista specializzato in sparizione di denaro.
Pillola tecnica: Cos’è l’NFC?
NFC sta per Near Field Communication. È quella tecnologia che vi permette di pagare avvicinando la carta al POS o di scambiare informazioni tra smartphone con un tap. Utile, vero? Peccato che i cattivi abbiano trovato il modo di sfruttarla per scopi meno nobili.
La ciliegina sulla torta: le vittime non devono rootare i loro dispositivi
Eh sì, perché sarebbe stato troppo comodo se per cadere vittima di questo schema servisse un dottorato in ingegneria informatica. No, NGate funziona su dispositivi Android perfettamente normali. È come se il lupo non avesse nemmeno bisogno di travestirsi da nonna: basta che bussi alla porta e Red Riding Hood gli apre pensando sia il fattorino di Amazon.
Cosa possiamo imparare da questa storia horror tecnologica?
- Non installate app da fonti sconosciute: Il Google Play Store non è perfetto, ma è decisamente meglio del “SitoSospetto.com”.
- Diffidato dalle comunicazioni non richieste: Se la vostra banca vi chiede di installare un’app via SMS, probabilmente non è la vostra banca.
- Mantenete il vostro dispositivo aggiornato: Gli aggiornamenti di sicurezza sono come i vaccini per il vostro smartphone.
- Usate un’app di sicurezza mobile: Pensate a queste app come a un cane da guardia digitale. Abbaia (o meglio, notifica) quando qualcosa di sospetto si avvicina al vostro dispositivo.
NGate e il furto d’auto: cugini tecnologici?
Se state pensando “Ehi, questa storia mi ricorda qualcosa”, non siete i soli. La tecnica usata da NGate è sorella (o forse cugina di primo grado) di quella impiegata dai ladri d’auto tech-savvy per rubare veicoli senza nemmeno toccare le chiavi.
Immaginate la scena: state comodamente sorseggiando un espresso al bar, con le chiavi della vostra fiammante auto nuova in tasca. Poco lontano, due individui dall’aria sospetta si aggirano con dispositivi che sembrano usciti da un film di spionaggio. Uno si avvicina a voi, l’altro resta vicino alla vostra auto. E voilà! La vostra auto si apre come se aveste premuto il telecomando.
Come funziona?
- Il primo dispositivo, vicino a voi, amplifica e ripete il segnale del vostro telecomando.
- Il secondo dispositivo, vicino all’auto, riceve questo segnale amplificato.
- L’auto pensa che il telecomando sia nelle vicinanze e si sblocca.
Suona familiare? È esattamente ciò che fa NGate, ma invece di rubare la vostra auto, ruba i dati della vostra carta di credito. È come se il vostro portafoglio avesse improvvisamente deciso di fare una passeggiata non autorizzata, proprio come la vostra auto.
Pillola tecnica: L’amplificazione del segnale
Sia nel caso del furto d’auto che in quello di NGate, la chiave è l’amplificazione e la ritrasmissione di un segnale. Nel caso delle auto, si tratta del segnale radio del telecomando. Per NGate, è il segnale NFC della vostra carta di credito. In entrambi i casi, la tecnologia pensata per la nostra comodità viene sfruttata contro di noi.
Cosa possiamo imparare da questo parallelo?
- La comodità ha un prezzo: Tecnologie come NFC e telecomandi senza chiave sono fantastiche, ma portano con sé nuovi rischi.
- L’innovazione corre… da entrambe le parti: Mentre noi godiamo delle ultime novità tech, i criminali non stanno certo a guardare.
- La consapevolezza è la migliore difesa: Conoscere queste tecniche ci permette di adottare contromisure, come custodie schermate per chiavi e carte di credito.
Quindi, la prossima volta che vi godete il vostro caffè al bar, ricordate: potrebbe non essere solo la caffeina a darvi una scossa, ma la consapevolezza che la vostra auto (o il vostro conto in banca) potrebbe star facendo una gita non autorizzata!
Conclusione: La sicurezza è un lavoro di squadra
Mentre i ricercatori di sicurezza e le forze dell’ordine lavorano per contrastare minacce come NGate, ricordate che la prima linea di difesa siete voi. Siate scettici, fate domande e, se qualcosa sembra troppo bello (o sospetto) per essere vero, probabilmente non lo è.
E ricordate: la prossima volta che la vostra banca vi chiede di “aggiornare l’app per motivi di sicurezza” via un SMS non richiesto, rispondete mentalmente con un sonoro “Nice try, NGate. Nice try.”
Restate al sicuro là fuori, amici italiani. Il mondo digitale è pieno di meraviglie, ma anche di lupi travestiti da nonne bancarie.
Files
SHA-1 | Nome file | Identificazione | Descrizione |
7225ED2CBA9CB6C038D8 615A47423E45522A9AD1 | csob_smart_klic.apk | Android/Spy.NGate.B | NGate Android malware. |
66DE1E0A2E9A421DD16B D54B371558C93E59874F | csob_smart_klic.apk | Android/Spy.NGate.C | NGate Android malware. |
DA84BC78FF2117DDBFDC BA4E5C4E3666EEA2013E | george_klic.apk | Android/Spy.NGate.C | NGate Android malware. |
E7AE59CD44204461EDBD DF292D36EEED38C83696 | george_klic-0304.apk | Android/Spy.NGate.C | NGate Android malware. |
103D78A180EB973B9FFC 289E9C53425D29A77229 | rb_klic.apk | Android/Spy.NGate.A | NGate Android malware. |
11BE9715BE9B41B1C852 7C9256F0010E26534FDB | rb_klic.apk | Android/Spy.NGate.C | NGate Android malware. |
Network
IP | Domain | Hosting provider | Comparso il | Dettagli |
91.222.136[.]153 | raiffeisen-cz[.]eu | Hosting Ukraine LTD | 2024‑03‑05 | NGate distribution website. |
104.21.7[.]213 | client.nfcpay.workers[.]dev | Cloudflare, Inc. | 2024‑03‑03 | Phishing website. |
172.187.98[.]211 | N/A | Divya Quamara | 2024‑04‑07 | NGate C&C server. |
185.104.45[.]51 | app.mobil-csob-cz[.]eu | Hosting Ukraine LTD | 2024‑03‑12 | NGate distribution website. |
185.181.165[.]124 | nfc.cryptomaker[.]info | Serverius | 2024‑02‑21 | NGate C&C server. |
Tecniche MITRE ATT&CK
Questa tabella è stata costruita utilizzando la versione 15 del framework MITRE ATT&CK.
Tactic | ID | Name | Description |
Initial Access | T1660 | Phishing | NGate viene distribuito utilizzando siti web dedicati che impersonano servizi legittimi. |
Credential Access | T1417.002 | Input Capture: GUI Input Capture | NGate cerca di ottenere informazioni sensibili delle vittime tramite un phishing WebView fingendo di essere un servizio bancario. |
Discovery | T1426 | System Information Discovery | NGate può estrarre informazioni sul dispositivo, incluso il modello del dispositivo, la versione Android e le informazioni sulla NFC. |
Command and Control | T1437.001 | Application Layer Protocol: Web Protocols | NGate utilizza un’interfaccia JavaScript per inviare ed eseguire comandi ai dispositivi compromessi. |
T1509 | Non-Standard Port | NGate utilizza la porta 5566 per comunicare con il server per estrarre il traffico NFC. | |
T1644 | Out of Band Data | NGate può estrarre il traffico NFC. |
Maestro del Caos Digitale e Guardiano del Cyberspazio, naviga nel mare oscuro della sicurezza informatica da oltre vent’anni, armato di codice e un irresistibile papillon.
Con la precisione di un bisturi e l’umorismo di un hacker, ha trasformato centinaia di “comuni mortali IT” in veri e propri ninja dell’Ethical Hacking. La sua missione? Insegnare l’arte della difesa digitale a migliaia di ignare risorse aziendali, un firewall alla volta.
Tre segreti che lo rendono un unicorno nel mondo cyber:
Ha una relazione quasi ossessiva con le password. Alcuni collezionano francobolli, lui colleziona hash crittografici.
Il suo gatto si chiama Hash. Sì, come l’algoritmo. No, non miagola in binario (ancora).
Indossa sempre un papillon, perché chi ha detto che non si può hackerare con stile?
Se lo cercate, seguite la scia di bit verdi: è il suo colore preferito. Perché anche nel mondo digitale, è sempre primavera per la sicurezza!