Una campaña basada en malware NGate manipula la app HandyPay para robar datos de tarjetas, PIN y realizar pagos no autorizados.
El equipo de investigación de ESET identificó una nueva campaña de fraude que compromete una aplicación legítima de Android llamada HandyPay. Los atacantes modificaron la app con código malicioso —posiblemente generado con inteligencia artificial— para interceptar datos NFC de tarjetas de pago y utilizarlos en retiros sin contacto en cajeros automáticos y transacciones fraudulentas.
Cómo funciona el fraude NFC detectado por ESET
El malware, una variante de NGate, permite a los ciberdelincuentes retransmitir la información NFC desde la tarjeta de la víctima hacia otro dispositivo controlado por los atacantes. Con ello, pueden ejecutar pagos o incluso retirar dinero en cajeros compatibles con tecnología contactless.
Además, la amenaza también es capaz de capturar el PIN de la tarjeta y enviarlo a servidores remotos, ampliando significativamente el impacto del ataque.
Brasil en la mira y riesgo para América Latina
La campaña, activa desde noviembre de 2025, ha estado dirigida principalmente a usuarios de Android en Brasil, aunque presenta potencial de expansión a otros países de América Latina.
Los atacantes distribuyen la app troyanizada mediante:
- Un sitio falso que suplanta a la lotería “Rio de Prêmios”
- Una página fraudulenta que imita Google Play
Ambos canales estaban alojados en el mismo dominio, lo que sugiere la participación de un único actor malicioso.
Uso de inteligencia artificial en el desarrollo del malware
Uno de los hallazgos más relevantes es que el código malicioso presenta indicios de haber sido generado con herramientas de IA (GenAI). Según ESET, esto se evidencia en la presencia de emojis en los logs, un patrón común en textos creados por modelos de lenguaje.
Este caso refuerza una tendencia creciente: la inteligencia artificial está reduciendo la barrera de entrada al cibercrimen, permitiendo que actores con menor experiencia técnica desarrollen malware funcional.
Evolución del fraude NFC y modelo Malware-as-a-Service
ESET advierte que el ecosistema de amenazas basadas en NFC continúa evolucionando. Inicialmente, ataques como NGate utilizaban herramientas open source como NFCGate. Sin embargo, actualmente existen soluciones comerciales bajo el modelo Malware-as-a-Service (MaaS), como NFU Pay o TX-NFC, que se comercializan incluso en plataformas como Telegram.
En esta campaña, los atacantes optaron por modificar directamente HandyPay, posiblemente por una razón económica: mientras estas plataformas pueden costar cientos de dólares al mes, la app original requiere apenas una suscripción opcional de bajo costo.
Medidas de seguridad y protección para usuarios
ESET confirmó que la versión maliciosa de HandyPay nunca estuvo disponible en la tienda oficial de Google Play. Además, gracias a Google Play Protect, los usuarios de Android con servicios de Google están protegidos automáticamente contra variantes conocidas de esta amenaza.
La compañía también notificó al desarrollador de la app, quien ya inició una investigación interna.
“El crecimiento del fraude basado en NFC es evidente. En este caso, los atacantes optaron por troyanizar una app legítima en lugar de usar herramientas existentes. La posible utilización de GenAI demuestra cómo los ciberdelincuentes pueden generar amenazas sofisticadas sin conocimientos avanzados”, señaló Lukas Stefanko, investigador de malware en ESET.
Publicar un comentario