Come rimuovere il malware NGate dal vostro dispositivo Android
Scitto da Tomas Meskauskas il
Che tipo di malware è NGate?
NGate è un malware specifico per Android. L'obiettivo di questo software è quello di consentire ai criminali informatici di effettuare prelievi ATM dai conti bancari delle vittime. Tuttavia, la tecnica utilizzata da NGate per facilitare questa attività potrebbe essere utilizzata per altri scopi malevoli.
Al momento in cui scriviamo, questo malware è stato utilizzato per colpire i clienti di tre banche ceche, tra cui la Czech Raiffeisenbank e la ČSOB (Československá obchodní banka). Sono state scoperte sei varianti di NGate, ciascuna camuffata in modo da corrispondere alla banca presa di mira. Una persona associata a questa campagna è stata arrestata mentre prelevava fondi da sportelli automatici a Praga.
Panoramica del malware NGate
NGate è noto per infiltrarsi nei dispositivi Android attraverso campagne di smishing (phishing via SMS) che si basano molto sulle tattiche di social engineering. Una volta aperto, il malware presenta alla vittima una falsa pagina bancaria. NGate si affida alle PWA o ai WebAPK per creare applicazioni imitatrici; per saperne di più su questa tecnica, leggete il nostro articolo sul malware Spy.Banker.
La pagina fraudolenta chiede al destinatario di inserire i propri dati e di abilitare la funzione NFC sul proprio dispositivo. Le informazioni prese di mira possono includere le credenziali di accesso al conto bancario della vittima, la data di nascita e il numero PIN della carta di debito/credito. L'NFC (Near-Field Communication) è il protocollo che NGate sfrutta per facilitare i prelievi dal bancomat.
Questo protocollo di comunicazione viene utilizzato per trasferire dati tra due dispositivi. Il malware utilizza uno strumento chiamato NFCGate per trasmettere i segnali NFC tramite un server al dispositivo Android dell'aggressore, che viene preparato per imitare il telefono della vittima. Attraverso una comunicazione socialmente manipolata, la vittima viene istruita a mettere la propria carta bancaria sul telefono.
In sostanza, si tratta del processo di collegamento di una carta a uno smartphone, che consentirebbe all'utente di effettuare pagamenti contactless con il proprio telefono. NGate invia i dati NFC al dispositivo dell'aggressore, collegandovi la carta. Il cybercriminale può utilizzare il telefono con la carta bancaria emulata per prelevare il denaro della vittima tramite un bancomat. È da notare che NGate può anche essere utilizzato per alterare il limite di prelievo impostato sulla carta/conto.
Se il metodo NFC fallisce, il malware dispone di un protocollo di backup in cui i fondi vengono trasferiti a un altro conto bancario. Si tratta di uno scenario meno auspicabile, poiché i trasferimenti bancari sono più tracciabili.
Come accennato nell'introduzione, NGate e la sua capacità di abusare dei segnali NFC per imitare il telefono della vittima (e i contenuti ad esso collegati) potrebbero essere utilizzati per una serie di azioni nefaste. Vale anche la pena notare che gli sviluppatori di malware spesso migliorano il loro software e le loro metodologie. Pertanto, potenziali varianti future di NGate potrebbero avere capacità aggiuntive/differenti o essere utilizzate per altri scopi.
In sintesi, la presenza di software come NGate sui dispositivi può causare gravi problemi di privacy, perdite finanziarie significative e furti di identità.
| Nome | NGate virus |
| Tipo di minaccia | Malware Android, applicazione dannosa |
| Nomi di rilevamento | Avast-Mobile (Android:Evo-gen [Trj]), DrWeb (Android.Banker.NGate.1.origin), ESET-NOD32 (Android/Spy.NGate.B), Kaspersky (HEUR:Trojan-Banker.AndroidOS.NGate.a), Elenco completo (VirusTotal) |
| Sintomi | Il malware è progettato per infiltrarsi furtivamente nel computer della vittima e rimanere silenzioso, pertanto non sono visibili sintomi particolari su un computer infetto. |
| Metodi di distribuzione | SMS di spam, allegati di e-mail infette, pubblicità online dannose, social engineering, applicazioni ingannevoli, siti web truffa. |
| Danni | Perdite monetarie, furto di identità (le app dannose potrebbero abusare delle app di comunicazione). |
| Rimozione dei malware (Android) | Per eliminare possibili infezioni malware, scansiona il tuo dispositivo mobile con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. |
Esempi di malware specifici per Android
Abbiamo scritto di innumerevoli programmi dannosi; LianSpy, BlankBot, BingoMod e GuardZoo sono solo alcuni esempi di programmi che hanno come obiettivo i sistemi operativi Android.
Malware è un termine ampio che racchiude programmi con diverse capacità e scopi dannosi. Tuttavia, indipendentemente dal modo in cui il software dannoso opera, la sua presenza nel sistema minaccia la sicurezza del dispositivo e dell'utente. Pertanto, tutte le minacce devono essere rimosse immediatamente dopo il rilevamento.
Come si è infiltrato NGate nel mio dispositivo?
La campagna NGate nota è iniziata con SMS di spam probabilmente inviati a caso (smishing). Il messaggio di testo riguardava una dichiarazione dei redditi, ma è probabile che vi siano altre esche. L'SMS conduce a una pagina dannosa che impersona il sito web di una banca online, da cui la vittima scarica NGate.
Una volta effettuato l'accesso, il malware (camuffato da app bancaria) chiede all'utente di fornire le proprie informazioni bancarie (come le credenziali di accesso). Una volta fatto ciò, la vittima viene contattata dai criminali informatici che fingono di essere il supporto ufficiale della propria banca. Sostengono che il dispositivo è stato compromesso e forniscono alla vittima istruzioni, come la modifica del PIN (inserendo quello vecchio nell'app imitatrice - NGate) e l'inserimento della carta bancaria nel telefono (ad esempio, a scopo di verifica).
Tuttavia, NGate potrebbe operare in modi diversi, e questo vale anche per i metodi utilizzati per la sua proliferazione.
Il malware viene solitamente camuffato o fornito in bundle con software/media ordinari. Le tecniche di distribuzione più diffuse includono: allegati/link dannosi nello spam (ad esempio, SMS, e-mail, PM/DM, post sui social media, ecc.), download drive-by, canali di download dubbi (ad esempio, siti di file-hosting freeware e gratuiti, reti di condivisione P2P, app store di terze parti, ecc.), truffe online, contenuti pirata, strumenti di attivazione del software illegali ("crack") e falsi aggiornamenti.
Alcuni programmi dannosi possono anche diffondersi autonomamente attraverso le reti locali e i dispositivi di archiviazione rimovibili (ad esempio, dischi rigidi esterni, chiavette USB, ecc.).
Come evitare l'installazione di malware?
Prima di scaricare/acquistare un software, si consiglia di effettuare una ricerca leggendo le condizioni e le recensioni di esperti/utenti, controllando le autorizzazioni necessarie e verificando la legittimità dello sviluppatore. Tutti i download devono essere effettuati da fonti ufficiali e verificate. I software devono essere attivati e aggiornati utilizzando funzioni/strumenti autentici, poiché quelli ottenuti da terzi possono contenere malware.
Un'altra raccomandazione è quella di essere vigili durante la navigazione, poiché i contenuti online fraudolenti e dannosi di solito appaiono legittimi e innocui. Si consiglia di prestare attenzione alle e-mail in arrivo, ai PM/DM, agli SMS, ecc. Gli allegati o i link presenti nei messaggi sospetti/irrilevanti non devono essere aperti, perché possono essere virulenti.
È fondamentale installare e tenere aggiornato un antivirus affidabile. I programmi di sicurezza devono essere utilizzati per eseguire scansioni regolari del sistema e per rimuovere le minacce e i problemi rilevati.
Comparsa di pagine dannose che si spacciano per siti bancari e Google Play, utilizzate per diffondere NGate (fonte: welivesecurity.com):
Schermata di un NGate che impersona un'applicazione bancaria polacca per rubare i dati NFC e i codici PIN della carta. Dopo aver ottenuto tali dati, i criminali informatici sono in grado di prelevare denaro dal bancomat utilizzando il terminale contactless senza bisogno della carta fisica; fonte: ESET Research:
Menu rapido:
- Introduzione
- Come eliminare la cronologia di navigazione dal browser Chrome?
- Come disattivare le notifiche del browser nel browser web Chrome?
- Come resettare il browser Chrome?
- Come cancellare la cronologia di navigazione dal browser web Firefox?
- Come disattivare le notifiche del browser Firefox?
- Come resettare il browser web Firefox?
- Come disinstallare le applicazioni potenzialmente indesiderate e/o dannose?
- Come avviare il dispositivo Android in "modalità provvisoria"?
- Come controllare l'utilizzo della batteria di varie applicazioni?
- Come controllare l'utilizzo dei dati delle varie applicazioni?
- Come installare gli ultimi aggiornamenti software?
- Come ripristinare lo stato di default del sistema?
- Come disattivare le applicazioni con privilegi di amministratore?
Eliminare la cronologia di navigazione dal browser Chrome:
Toccate il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionate "Cronologia" nel menu a discesa aperto.
Toccare "Cancella dati di navigazione", selezionare la scheda "AVANZATE", scegliere l'intervallo di tempo e i tipi di dati che si desidera eliminare e toccare "Cancella dati".
Disattivare le notifiche del browser nel browser Chrome:
Toccate il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionate "Impostazioni" nel menu a discesa aperto.
Scorrere verso il basso fino a visualizzare l'opzione "Impostazioni del sito" e toccarla. Scorrete verso il basso fino a visualizzare l'opzione "Notifiche" e toccatela.
Individuate i siti Web che forniscono notifiche del browser, toccateli e fate clic su "Cancella e ripristina". In questo modo verranno rimosse le autorizzazioni concesse a questi siti web per l'invio di notifiche. Tuttavia, una volta visitato nuovamente lo stesso sito, questo potrebbe richiedere nuovamente un'autorizzazione. Potete scegliere se concedere o meno questi permessi (se scegliete di rifiutarli, il sito passerà alla sezione "Bloccato" e non vi chiederà più l'autorizzazione).
Ripristinare il browser Chrome:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere verso il basso fino a trovare l'applicazione "Chrome", selezionarla e toccare l'opzione "Archiviazione".
Toccate "GESTIONE MEMORIZZAZIONE", quindi "CANCELLA TUTTI I DATI" e confermate l'operazione toccando "OK". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete inoltre effettuare nuovamente l'accesso a tutti i siti web.
Cancellare la cronologia di navigazione dal browser Firefox:
Toccare il pulsante "Menu" (tre puntini nell'angolo superiore destro dello schermo) e selezionare "Cronologia" nel menu a discesa aperto.
Scorrere verso il basso fino a visualizzare "Cancella dati privati" e toccarlo. Selezionate i tipi di dati che desiderate rimuovere e toccate "Cancella dati".
Disattivare le notifiche del browser nel browser Firefox:
Visitare il sito web che invia le notifiche del browser, toccare l'icona visualizzata a sinistra della barra degli URL (l'icona non sarà necessariamente un "lucchetto") e selezionare "Modifica impostazioni del sito".
Nel pop-up aperto, selezionare l'opzione "Notifiche" e toccare "CANCELLA".
Reimpostare il browser web Firefox:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere verso il basso fino a trovare l'applicazione "Firefox", selezionarla e toccare l'opzione "Memoria".
Toccare "CANCELLA DATI" e confermare l'azione toccando "CANCELLA". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete inoltre effettuare nuovamente il login in tutti i siti web.
Disinstallare le applicazioni potenzialmente indesiderate e/o dannose:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere fino a individuare un'applicazione potenzialmente indesiderata e/o dannosa, selezionarla e toccare "Disinstalla". Se, per qualche motivo, non si riesce a rimuovere l'applicazione selezionata (ad esempio, viene visualizzato un messaggio di errore), si dovrebbe provare a utilizzare la "Modalità provvisoria".
Avviare il dispositivo Android in "modalità provvisoria":
La "modalità provvisoria" del sistema operativo Android disabilita temporaneamente l'esecuzione di tutte le applicazioni di terze parti. L'uso di questa modalità è un buon modo per diagnosticare e risolvere vari problemi (ad esempio, rimuovere le applicazioni dannose che impediscono agli utenti di farlo quando il dispositivo funziona "normalmente").
Premete il pulsante "Power" e tenetelo premuto finché non appare la schermata "Power off". Toccare l'icona "Spegnimento" e tenerla premuta. Dopo qualche secondo apparirà l'opzione "Modalità provvisoria" e sarà possibile eseguirla riavviando il dispositivo.
Controllare l'utilizzo della batteria delle varie applicazioni:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Manutenzione del dispositivo" e toccarlo.
Toccare "Batteria" e controllare l'utilizzo di ogni applicazione. Le applicazioni legittime/genuino sono progettate per utilizzare il minor consumo possibile di energia, al fine di fornire la migliore esperienza utente e risparmiare energia. Pertanto, un utilizzo elevato della batteria può indicare che l'applicazione è dannosa.
Controllare l'utilizzo dei dati delle varie applicazioni:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Connessioni" e toccarlo.
Scorrere fino a visualizzare "Utilizzo dati" e selezionare questa opzione. Come per la batteria, le applicazioni legittime/genuini sono progettate per ridurre al minimo l'utilizzo dei dati. Ciò significa che un utilizzo massiccio di dati può indicare la presenza di un'applicazione dannosa. Si noti che alcune applicazioni dannose potrebbero essere progettate per funzionare solo quando il dispositivo è connesso alla rete wireless. Per questo motivo, è necessario controllare l'utilizzo dei dati sia da rete mobile che da rete Wi-Fi.
Se trovate un'applicazione che consuma molti dati anche se non la usate mai, vi consigliamo vivamente di disinstallarla il prima possibile.
Installare gli ultimi aggiornamenti del software:
Mantenere il software aggiornato è una buona pratica quando si tratta di sicurezza del dispositivo. I produttori di dispositivi rilasciano continuamente varie patch di sicurezza e aggiornamenti Android per risolvere errori e bug che possono essere sfruttati dai criminali informatici. Un sistema non aggiornato è molto più vulnerabile, per questo motivo bisogna sempre assicurarsi che il software del dispositivo sia aggiornato.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Aggiornamento software" e toccarlo.
Toccare "Scarica gli aggiornamenti manualmente" e verificare se sono disponibili aggiornamenti. In caso affermativo, installateli immediatamente. Si consiglia inoltre di attivare l'opzione "Scarica automaticamente gli aggiornamenti", che consentirà al sistema di notificare il rilascio di un aggiornamento e/o di installarlo automaticamente.
Ripristinare lo stato di default del sistema:
L'esecuzione di un "Reset di fabbrica" è un buon modo per rimuovere tutte le applicazioni indesiderate, ripristinare le impostazioni predefinite del sistema e pulire il dispositivo in generale. Tuttavia, è necessario tenere presente che tutti i dati presenti nel dispositivo verranno eliminati, comprese le foto, i file video/audio, i numeri di telefono (memorizzati nel dispositivo, non nella scheda SIM), i messaggi SMS e così via. In altre parole, il dispositivo verrà riportato allo stato primordiale.
È anche possibile ripristinare le impostazioni di base del sistema e/o semplicemente le impostazioni di rete.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Informazioni sul telefono" e toccarlo.
Scorrete verso il basso fino a visualizzare "Ripristino" e toccatelo. Ora scegliete l'azione che desiderate eseguire:
"Ripristina impostazioni" - ripristina tutte le impostazioni di sistema ai valori predefiniti;
"Ripristina impostazioni di rete" - ripristina tutte le impostazioni relative alla rete ai valori predefiniti;
"Ripristino dati di fabbrica" - ripristina l'intero sistema e cancella completamente tutti i dati memorizzati;
Disattivate le applicazioni che hanno privilegi di amministratore:
Se un'applicazione dannosa ottiene i privilegi di amministratore, può danneggiare seriamente il sistema. Per mantenere il dispositivo il più sicuro possibile, si dovrebbe sempre controllare quali applicazioni hanno tali privilegi e disabilitare quelle che non dovrebbero.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Schermata di blocco e sicurezza" e toccarlo.
Scorrere verso il basso fino a visualizzare "Altre impostazioni di sicurezza", toccarlo e quindi toccare "Applicazioni di amministrazione del dispositivo".
Identificare le applicazioni che non devono avere privilegi di amministratore, toccarle e quindi toccare "DISATTIVA".
Domande frequenti (FAQ)
Il mio dispositivo Android è stato infettato dal malware NGate, devo formattare il dispositivo di archiviazione per eliminarlo?
La rimozione del malware raramente richiede misure così drastiche.
Quali sono i maggiori problemi che il malware NGate può causare?
I pericoli associati a un'infezione dipendono dalle capacità del malware e dagli obiettivi dei cybercriminali. NGate mira a facilitare i prelievi dai conti bancari delle vittime. A tal fine, abusa del protocollo NFC per imitare le carte bancarie. Il malware può anche essere utilizzato per effettuare transazioni fraudolente. Pertanto, NGate può causare seri problemi di privacy, perdite finanziarie e potenzialmente il furto di identità.
Qual è lo scopo del malware NGate?
Il malware viene utilizzato principalmente a scopo di lucro e in base alle sue funzionalità - NGate non fa eccezione. Altre motivazioni alla base delle infezioni da malware sono la ricerca di divertimento, il rancore personale, l'hacktivismo e le ragioni politiche/geopolitiche.
Come si è infiltrato il malware NGate nel mio dispositivo Android?
NGate si diffonde tramite smishing e social engineering (cioè gli aggressori istruiscono le vittime tramite telefonate). Sono possibili altri metodi. In genere, il malware viene distribuito tramite spam (ad esempio, SMS, PM/DM, e-mail, post sui social media), truffe online, download drive-by, fonti sospette (ad esempio, siti web di freeware e di terze parti, reti di condivisione P2P, ecc.), contenuti pirata, strumenti di attivazione del software illegali ("crack") e falsi aggiornamenti. Inoltre, alcuni programmi dannosi possono diffondersi autonomamente attraverso reti locali e dispositivi di archiviazione rimovibili.
Combo Cleaner mi proteggerà dal malware?
Sì, Combo Cleaner è in grado di rilevare ed eliminare la maggior parte delle infezioni malware conosciute. Va sottolineato che l'esecuzione di una scansione completa del sistema è essenziale, poiché il software dannoso di alto livello si nasconde tipicamente nelle profondità dei sistemi.
Eccezionale!
▼ Mostra Discussione