A Eset alerta para um novo tipo de ataque financeiro a dispositivos Android através da instalação de aplicações falsas que roubam dados de cartões bancários através da tecnologia Near Field Communication (NFC).
Os cibercriminosos enganam os usuários para que instalem aplicativos maliciosos disfarçados de aplicativos bancários por meio de chamadas de phishing, mensagens SMS ou anúncios que levam a páginas falsas da Google Play Store, relata Garon. Esses aplicativos são capazes de ler dados de cartões bancários compatíveis com NFC localizados próximos ao telefone. Em seguida, as informações recebidas são transferidas para o dispositivo do invasor, que pode utilizá-las para realizar transações fraudulentas por meio de terminais de pagamento. Em alguns casos, usando engenharia social ou técnicas de phishing, os hackers podem obter acesso à conta bancária da vítima através de um caixa eletrônico, mesmo sem ter um cartão físico.
O especialista da Eset, Lukas Stefanko, chamou esse tipo de malware de “NGate” porque é baseado na tecnologia NFC e em uma ferramenta chamada “NFCGate”. Para um ataque bem-sucedido, a vítima deve instalar um aplicativo malicioso e também ter um cartão bancário compatível com NFC próximo ao telefone.
Lembremos que NFC é uma tecnologia de transmissão de dados sem fio de curto alcance que permite a troca de dados entre dispositivos localizados a uma distância de cerca de 10 centímetros. A tecnologia, ao mesmo tempo que permite pagamentos sem contacto e outras funcionalidades convenientes, também cria novas oportunidades para os criminosos que podem digitalizar o conteúdo das carteiras usando um telefone através de malas em locais lotados. Além disso, é possível clonar tags NFC por meio de aplicativos especiais, que permitem copiar dados de cartões de pagamento ou cartões-chave de acesso.
A Eset e o Google recomendam que os usuários prestem atenção a links suspeitos e tenham cuidado ao instalar aplicativos, principalmente se for solicitado acesso NFC. Observa-se também que os bancos normalmente não exigem a atualização de seus aplicativos por meio de SMS ou publicidade nas redes sociais.