Connect with us

Ciencia y tecnología

El malware de Android roba datos de tarjetas de pago mediante una técnica novedosa

Published

on

El malware de Android roba datos de tarjetas de pago mediante una técnica novedosa

El malware Android recientemente descubierto roba datos de tarjetas de pago utilizando el lector NFC de un dispositivo infectado y los pasa a los atacantes, una nueva técnica que efectivamente clona la tarjeta para que pueda usarse en cajeros automáticos o terminales de puntos de venta, dijo la compañía de seguridad ESET.

Los investigadores de ESET llamaron al malware NGate porque integra Puerta NFCuna herramienta de código abierto para capturar, analizar o modificar el tráfico NFC. Abreviatura de Comunicación de campo cercanoNFC es un protocolo que permite que dos dispositivos se comuniquen de forma inalámbrica en distancias cortas.

Nuevo escenario de ataque a Android

«Este es un nuevo escenario de ataque a Android, y es la primera vez que vemos malware para Android con esta capacidad utilizado en la naturaleza», dijo Lukas Stefanko, investigador de ESET, en un comunicado de prensa. video demostrando el descubrimiento. “El malware NGate puede transmitir datos NFC desde la tarjeta de una víctima a través de un dispositivo comprometido al teléfono inteligente de un atacante, quien luego puede emular la tarjeta y retirar dinero de un cajero automático. »

Lukas Stefanko: desenmascarando NGate.

El malware se instaló mediante escenarios de phishing tradicionales, como enviar mensajes a objetivos y engañarlos para que instalaran NGate desde dominios efímeros que pretendían ser bancos o aplicaciones oficiales de banca móvil disponibles en Google Play. Haciéndose pasar por una aplicación legítima del banco de un objetivo, NGate solicita al usuario que ingrese el ID de cliente del banco, la fecha de nacimiento y el PIN de la tarjeta. Luego, la aplicación le pide al usuario que habilite la tecnología NFC y escanee la tarjeta.

READ  Se han filtrado las primeras fotos reales del Galaxy S21

ESET dijo que descubrió que NGate había sido utilizado contra tres bancos checos a partir de noviembre e identificó seis aplicaciones NGate distintas en circulación entre entonces y marzo de este año. Algunas de las aplicaciones utilizadas en los últimos meses de la campaña tenían la forma de PWA, abreviatura de Aplicaciones web progresivasque, como se informó el jueves, se puede instalar en dispositivos Android e iOS incluso cuando la configuración (obligatoria en iOS) impide la instalación de aplicaciones disponibles de fuentes no oficiales.

La razón más probable por la que la campaña NGate terminó en marzo, según ESET, fue la Detener La policía checa arrestó a un hombre de 22 años que llevaba una máscara mientras retiraba dinero de cajeros automáticos en Praga. Los investigadores dijeron que el sospechoso «ideó una nueva forma de estafar a la gente» utilizando un esquema que parece idéntico al que involucra a NGate.

Stefanko y su compañero investigador de ESET, Jakub Osmani, explicaron cómo funciona el ataque:

El anuncio de la policía checa reveló que el escenario del ataque comenzó cuando los atacantes enviaron mensajes de texto a víctimas potenciales sobre una declaración de impuestos, incluido un enlace a un sitio web de phishing que pretendía ser de bancos. Lo más probable es que estos enlaces condujeran a PWA maliciosas. Una vez que la víctima instaló la aplicación e ingresó sus credenciales, el atacante obtuvo acceso a su cuenta. Luego llamó a la víctima haciéndose pasar por un empleado del banco. Se informó a la víctima que su cuenta había sido comprometida, probablemente debido al mensaje de texto anterior. El atacante en realidad estaba diciendo la verdad: la cuenta de la víctima fue comprometida, pero esa verdad luego llevó a otra mentira.

Para «proteger» sus fondos, se pidió a la víctima que cambiara su PIN y verificara su tarjeta bancaria mediante una aplicación móvil: el malware NGate. Se envió un enlace para descargar NGate por SMS. Sospechamos que en la aplicación NGate, las víctimas ingresaban su antiguo PIN para crear uno nuevo y colocaban su tarjeta en la parte posterior de su teléfono inteligente para verificar o aplicar el cambio.

Como el atacante ya tenía acceso a la cuenta comprometida, podía modificar los límites de retiro. Si el método de retransmisión NFC no funcionaba, simplemente podía transferir los fondos a otra cuenta. Sin embargo, el uso de NGate facilita que el atacante acceda a los fondos de la víctima sin dejar rastro en su propia cuenta bancaria. En la Figura 6 se muestra un diagrama de la secuencia del ataque.

Descripción general del ataque NGate.
Agrandar / Descripción general del ataque NGate.

ESET

Los investigadores dijeron que NGate o aplicaciones similares podrían usarse en otros escenarios, como la clonación de ciertas tarjetas inteligentes utilizadas para otros fines. El ataque funcionaría copiando el identificador único de la etiqueta NFC, abreviado como UID.

READ  La reina Isabel II llevó una vida de baja tecnología, pero nombró caballeros a muchas figuras de la ciencia y la tecnología.

«Durante nuestras pruebas, transmitimos con éxito el UID de una etiqueta MIFARE Classic 1K, que normalmente se utiliza para billetes de transporte público, tarjetas de identificación, tarjetas de membresía o de estudiante y «otros casos de uso similares», escribieron los investigadores. “Utilizando NFCGate, es posible realizar un ataque de retransmisión NFC para leer un token NFC en una ubicación y, en tiempo real, acceder a las instalaciones en otra ubicación emulando su UID, como se muestra en la Figura 7. »

Figura 7. Teléfono inteligente Android (derecha) que lee y transmite el UID de un token NFC externo a otro dispositivo (izquierda).
Agrandar / Figura 7. Teléfono inteligente Android (derecha) que lee y transmite el UID de un token NFC externo a otro dispositivo (izquierda).

ESET

La clonación puede ocurrir en situaciones en las que el atacante tiene acceso físico a una tarjeta o puede leer brevemente una tarjeta en carteras, carteras, mochilas o fundas de teléfonos inteligentes desatendidas que contienen tarjetas. Para realizar y emular dichos ataques, el atacante debe tener un dispositivo Android personalizado y rooteado. Los teléfonos infectados con NGate no tenían este requisito.

Soy un profesional de gestión deportiva con conocimientos adecuados sobre la industria del deporte en España. Tengo varias habilidades que me han ayudado a trabajar en diferentes sectores del deporte en España, incluyendo eventos deportivos, desarrollo de base para el deporte e infraestructura deportiva.

Continue Reading
Click to comment

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Ciencia y tecnología

NotePin de Plaud, impulsado por ChatGPT y que se vende por $169, tiene un lugar permanente en mi bolsa de viaje

Published

on

NotePin de Plaud, impulsado por ChatGPT y que se vende por 9, tiene un lugar permanente en mi bolsa de viaje

Afortunadamente, la insignia Plaud.AI ocupaba poco espacio en mi bolso de mano. También me dio un doble golpe: estaba volando por todo el país y sabía que iba a tomar muchas notas.

Si alguna vez has estado en una reunión conmigo, sabrás que siempre llevo mi computadora portátil. Mi estúpido cerebro necesita tomar notas. Dicho esto, escribir mientras se escucha puede distraer tanto como ser interesante. Como mínimo, te impide mantener una conversación natural, especialmente en esos momentos en los que sigues escribiendo después de que la otra persona ha terminado de hablar.

Por supuesto, puedes intentar escribir más rápido o encontrar un atajo, pero descubrí que ambos métodos tienden a hacer que el texto sea ilegible. El siguiente paso obvio es grabar, con el permiso de la otra persona, por supuesto. Cuando era un periodista novato, las grabadoras de voz digitales independientes todavía eran una preocupación común.

Hoy grabo en mi computadora portátil o pongo mi teléfono en la mesa entre el sujeto y yo. Estos dispositivos presentan sus propios problemas, como la falta de micrófonos adecuados y la tendencia a captar ruidos al escribir cuando cumplen una doble función. Siento una ligera nostalgia por los días en que tenía mi pequeña grabadora Olympus con su llave USB-A incorporada.

El motivo de Plaud.AI se encuentra en algún punto entre los escenarios anteriores. A principios de este año, la startup lanzó Plaud Note, un dispositivo de grabación que se conecta magnéticamente a la parte posterior de un teléfono celular y utiliza ChatGPT para transcribir conversaciones. Aunque no tuve la oportunidad de probar este dispositivo anterior, aproveché la oportunidad cuando la compañía me habló sobre el próximo NotePin.

READ  Aleatorio: hombre forja palitos de helado para ganar el concurso Pokémon y es arrestado
Créditos de imagen: Calefacción Brian

Dudo que este producto tenga una gran audiencia en la era de los teléfonos inteligentes que lo hacen todo, pero estaba seguro de que sería uno de ellos. A veces siento que estoy tomando notas sólo para tener algo que hacer en las reuniones. Digo esto porque muchas de mis notas languidecen, por no poder encontrar información relevante o simplemente por ser indescifrables.

Otter.AI me ayudó mucho en ambos frentes cuando subí grabaciones al servicio de transcripción impulsado por IA. El proceso de Plaud es similar, pero más sencillo. En el caso de NotePin, lo usa en su muñeca o lo sujeta magnéticamente a su solapa, toca una vez para guardar y toca nuevamente para detener. Las grabaciones se guardan en su teléfono en tiempo real y desde allí puede decidir si descargarlas o no para transcribirlas, dependiendo de qué tan sólida sea su suscripción mensual.

El dispositivo de $169 viene con 300 minutos de transcripción mensuales gratuitos. Mientras tanto, el plan Pro cuesta $ 6,60 por mes, lo que cuadriplica los minutos de transcripción y agrega algunas funciones como plantillas personalizadas y «Pregunte a AI», que la compañía describe como «un agente de IA para extraer más información de los registros, información que no fue descubierta». a través de modelos resumidos e información que abarca múltiples registros”.

En última instancia, elegir una cuenta Pro dependerá de la cantidad de tiempo que pases en reuniones por mes. Dado que la mayoría de mis reuniones se realizan por teleconferencia, no creo que actualice. Pero quién sabe: tal vez los millones de sesiones informativas a las que asistiré en el CES en enero me obliguen.

READ  Spoilers de Coronation Street: Johnny pierde la vista debido a una recaída de EM

Una cosa que realmente me gusta de Plaud es el diseño deliberado de la empresa. El concepto de registrar la vida fue un fracaso. Creo que mucho de esto se debe a que la mayoría de la gente no quiere registrar todas sus idas y venidas diarias. Y las personas que conocen generalmente no quieren ser grabadas.

El NotePin es deliberado en el sentido de que lo presionas para activarlo. Esta es una acción intencional que probablemente la persona sentada frente a usted notará. Cuando comience la grabación, sentirás un breve zumbido háptico. Si eso no es suficiente para disipar tus miedos, puedes abrir la aplicación Plaud en tu teléfono para ver si realmente se está grabando. Cuando haya terminado, otra pulsación le dará un zumbido háptico para indicar que la grabación se ha completado.

Créditos de imagen: Calefacción Brian

GPT hace un buen trabajo con transcripciones y resúmenes. También hay una herramienta de mapas mentales, aunque no la encontré particularmente interesante. Los hablantes están separados por voz y el sistema es capaz de manejar varios hablantes en 59 idiomas. El texto es claro, la interfaz es fácil de usar y los resúmenes son útiles. También es muy fácil compartir un enlace al audio con un colega.

Mi mayor problema actualmente, como usuario de Otter desde hace mucho tiempo, es la imposibilidad de tocar palabras en la transcripción para reproducir el audio correspondiente. Creo que esto es algo que Plaud planea agregar, si aún no lo ha hecho.

A diferencia de otros pines de IA, el producto de Plaud parece ser una solución a problemas del mundo real. Estos son problemas a los que me enfrento todo el tiempo como periodista. Mi mayor pregunta en este momento es si hay suficientes personas en el mundo como yo para apoyar el modelo de negocio de Plaud.

READ  Revisión de la cerradura inteligente Schlage Encode Plus: desbloquear la puerta ahora es tan fácil como usar Apple Pay
Continue Reading

Ciencia y tecnología

Aleatorio: alguien imprimió en 3D el supuesto diseño del “Switch 2”

Published

on

Aleatorio: alguien imprimió en 3D el supuesto diseño del “Switch 2”
En la foto: el Switch actual — Imagen: Nintendo

Hasta ahora ha sido una semana llena de acontecimientos en el mundo de Nintendo, con el rumoreado diseño del sucesor del Switch apareciendo en línea.

Ya hemos visto fotos de este diseño más grande y ligeramente más curvo, y ahora una Canal de YouTube (小宁子 XNZ) mostró un “primer vistazo” a una versión impresa en 3D a escala 1:1 de este sistema. La YouTuber detrás de este canal también afirma que tiene el archivo de este modelo «desde hace un tiempo».

Tenga en cuenta que esto es solo una maqueta basada en la supuesta filtración y estamos esperando un anuncio oficial de Nintendo. Como ya hemos mencionado, esto puede ser completamente incorrecto, pero aún así es interesante ver cómo se ve en comparación con el sistema actual:

Nintendo confirmó previamente que anunciaría el «sucesor» de Switch en el año fiscal actual, que finaliza en marzo de 2025. Rumores recientes han sugerido que un anuncio podría llegar muy pronto, pero el lanzamiento aún podría llevar algún tiempo.

Puedes ver el vídeo completo de esta impresión 3D a continuación. También aborda muchos otros rumores sobre el “Switch 2”, incluidos los controladores y el rendimiento del sistema. Una vez más, tómate todo lo que veas y escuches aquí con un gran grano de sal.

Continue Reading

Ciencia y tecnología

Los primeros pedidos anticipados de iPhone 16 llegan mientras se forman colas en las tiendas Apple de todo el mundo

Published

on

Los primeros pedidos anticipados de iPhone 16 llegan mientras se forman colas en las tiendas Apple de todo el mundo

A medida que se acerca el 20 de septiembre, el lanzamiento del iPhone 16 y del iPhone 16 Pro está en pleno apogeo. Los primeros pedidos anticipados han comenzado a llegar a compradores satisfechos, mientras que comienzan a formarse colas en las Apple Store.

Como destacamos anteriormente, la tienda insignia de Apple en la Quinta Avenida también brilla con los colores de Apple Intelligence para celebrar el lanzamiento del iPhone 16.

Crédito de la foto principal: SoyaCincau en X

Los emocionados usuarios de iPhone 16 y iPhone 16 Pro acudieron a varias plataformas de redes sociales para mostrar sus nuevos dispositivos. También es hora de lanzar el Apple Watch Series 10 y el nuevo Apple Watch Ultra 2 en Satin Black.

El iPhone 16 está disponible en cinco nuevos colores: negro, blanco, rosa, verde azulado y azul ultramar. El iPhone 16 Pro está disponible en cuatro colores: titanio natural, titanio blanco, titanio negro y titanio desierto.

También están empezando a formarse colas en las Apple Store de todo el mundo. Aquí hay un vistazo a la cola en Apple Sydney, cortesía de nuestro amigo Sam Kohl:

Además, las personas que reservaron su iPhone 16 para recogerlo en la tienda comenzaron a ver que el estado de su pedido cambiaba a «Listo para recoger» en la aplicación Apple Store. Por supuesto, no podrás recoger tu pedido hasta mañana a la hora asignada. Así que no intentes ir a tu Apple Store esta noche.

¿Ya has desempaquetado tu nuevo iPhone 16 o Apple Watch? Si es así, comparte algunas fotos y cuéntanos lo que piensas en los comentarios.

Los mejores accesorios para iPhone 16

Apple The Exchange TRX (Malasia), Crédito: SoyaCincau en

READ  La burla de Resident Evil 'sospechosa' de Capcom fue solo una actualización del sitio web

Apple Fukuoka (Japón), crédito: Riu en

Apple Marunouchi (Japón), crédito: @okaymac1 en

Apple Berlín (Alemania), Crédito: Parma en X

Apple The Exchange TRX (Malasia), Crédito: SoyaCincau en

FTC: utilizamos enlaces de afiliados automáticos que generan ingresos. Más.

Continue Reading

Trending