Los atacantes troyanizaron la app HandyPay para clonar tarjetas y realizar extracciones en cajeros sin contacto; el malware NGate ya opera en América Latina
Por: Rodrigo Pujol
La tecnología de pagos sin contacto (NFC) ha revolucionado la comodidad de nuestras transacciones, pero también ha abierto una nueva frontera para el cibercrimen. El equipo de investigación de ESET, líder en detección proactiva de amenazas, ha revelado una campaña de fraude que utiliza una variante del malware NGate para comprometer la aplicación legítima de Android, HandyPay.
Lo que hace este hallazgo particularmente inquietante es la evidencia de que los atacantes utilizaron Inteligencia Artificial Generativa (GenAI) para parchear la aplicación con código malicioso. Según ESET, la presencia de emojis específicos en los registros (logs) del malware delata el uso de modelos de lenguaje (LLM) para facilitar la creación de este fraude, reduciendo la barrera de entrada para delincuentes con conocimientos técnicos limitados.
¿Cómo funciona el robo de datos NFC?
La campaña, que ha estado activa desde noviembre de 2025 y se concentra principalmente en Brasil con potencial de expansión a toda la región, opera de la siguiente manera:
- Distribución engañosa: El malware no se encuentra en la tienda oficial. Se distribuye a través de sitios web falsos que suplantan loterías (como Rio de Prêmios) o páginas que simulan ser Google Play.
- Clonación remota: Una vez instalada, la app troyanizada transfiere los datos NFC de la tarjeta de la víctima al dispositivo del atacante.
- Extracciones y pagos: Con estos datos, los criminales pueden realizar compras no autorizadas o extraer efectivo en cajeros automáticos con tecnología contactless.
- Robo de PIN: Además de los datos de la tarjeta, el código malicioso es capaz de capturar el NIP de la víctima y enviarlo al servidor del atacante.
El mercado negro del «Malware-as-a-Service»
La investigación de ESET señala que los atacantes optaron por troyanizar HandyPay debido a su bajo costo operativo. Mientras que otros kits de fraude NFC en Telegram (como NFU Pay o TX-NFC) se rentan por hasta 500 dólares mensuales, HandyPay solo requiere una «donación» mínima para activar sus funciones de emulación, lo que la convierte en una herramienta sumamente económica para el ciberdelito.
“El fraude basado en NFC está en crecimiento. El uso de GenAI demuestra cómo los ciberdelincuentes pueden causar daño incluso sin conocimientos técnicos avanzados”, advirtió Lukas Stefanko, Malware Researcher de ESET.
¿Cómo protegerse?
Afortunadamente, los usuarios de Android cuentan con la protección de Google Play Protect, que identifica y bloquea automáticamente versiones conocidas de este malware. No obstante, los expertos recomiendan:
- Nunca descargar aplicaciones desde enlaces en correos, SMS o sitios web no oficiales.
- Verificar los permisos de las aplicaciones de pago.
- Mantener el NFC desactivado cuando no se esté utilizando.
Nota del Editor: En un mundo donde la IA puede ser usada tanto para crear como para destruir, la prevención es nuestra mejor defensa. En Thunder nos preocupa que herramientas de uso cotidiano como el NFC sean el blanco de ataques tan sofisticados. No bajen la guardia: si una aplicación de «protección de tarjetas» les pide descargar un archivo fuera de la Play Store, es casi seguro que se trata de una trampa. — Thunder
Si deseas contactar al editor, escribe a: editor@thunder.mx
#ESET #Ciberseguridad #FraudeNFC #MalwareNGate #HandyPay #SeguridadDigital #IA #Android #Tecnología #ProtecciónDeDatos
