Investigadores de ciberseguridad han descubierto una nueva versión de una familia de malware para Android llamada NGate. Se descubrió que esta versión explotaba una aplicación legítima llamada HandyPay en lugar de NFCGate.
«Los atacantes obtuvieron una aplicación utilizada para transmitir datos NFC y la parchearon con un código malicioso que parece estar generado por IA», dijo el investigador de seguridad de ESET, Lukasz Stefanko, en un informe compartido con The Hacker News. «Al igual que NGate anterior, este código malicioso permite a los atacantes transferir datos NFC desde la tarjeta de pago de la víctima a su propio dispositivo y utilizarlos para realizar retiros en cajeros automáticos sin contacto y pagos fraudulentos».
Además, la carga maliciosa podría capturar el PIN de la tarjeta de pago de la víctima y filtrarlo al servidor de comando y control (C2) del actor de la amenaza.
NGate, también conocido como NFSkate, fue documentado públicamente por primera vez por un proveedor de ciberseguridad eslovaco en agosto de 2024, detallando su capacidad para llevar a cabo ataques de retransmisión para desviar los datos de pago sin contacto de las víctimas con el fin de realizar transacciones fraudulentas.
Un año después, la empresa holandesa de seguridad móvil ThreatFabric reveló detalles de una amenaza con nombre en código RatOn que utiliza una aplicación cuentagotas que se hace pasar por una versión para adultos de TikTok e implementa NGate para realizar ataques de retransmisión NFC.
La última versión de NGate detectada por ESET se dirige principalmente a usuarios de Brasil, lo que la convierte en la primera campaña que nombra un país de América del Sur. La aplicación troyanizada HandyPay se distribuye a través de un sitio web que se hace pasar por Rio de Prêmios, una lotería administrada por la organización de lotería del estado de Río de Janeiro, y a través de una página de listado de Google Play Store que pretende ser una aplicación de protección de tarjetas.
Los sitios web de lotería falsos intentan atraer a los usuarios para que presionen un botón y envíen un mensaje de WhatsApp para reclamar sus ganancias. En ese momento, se le indicará que descargue una versión potencialmente dañina de la aplicación HandyPay. Independientemente del método utilizado, esta aplicación le pedirá que la configure como su aplicación de pago predeterminada después de la instalación.
Luego se pide a las víctimas que introduzcan el PIN de su tarjeta de pago en la aplicación y toque la tarjeta en la parte posterior de su teléfono inteligente con NFC. Tan pronto como se ejecuta este paso, el malware explota HandyPay para capturar datos de la tarjeta NFC y transmitirlos a un dispositivo controlado por el atacante. Esto permite al atacante utilizar la información robada para retirar efectivo del cajero automático.
Se estima que la campaña activa comenzó alrededor de noviembre de 2025. La versión maliciosa de HandyPay nunca estuvo disponible en Google Play Store. Esto significa que los atacantes están utilizando los métodos antes mencionados como mecanismo de entrega para engañar a los usuarios desprevenidos para que descarguen. Desde entonces, HandyPay ha iniciado una investigación interna sobre el asunto.
ESET señaló que el bajo precio de suscripción de HandyPay puede haber incitado a los operadores de campaña a hacer el cambio en lugar de continuar con su solución llave en mano existente, que cuesta más de $400 por mes. «Además del precio, HandyPay de forma nativa no requiere permisos y puede ayudar a los actores de amenazas a evitar despertar sospechas simplemente convirtiéndola en la aplicación de pago predeterminada», señaló la compañía.
El análisis de los artefactos reveló la presencia de emojis en los mensajes de depuración y brindis, destacando la posibilidad de que se utilizaran modelos de lenguaje a gran escala (LLM) para generar o modificar el código fuente. Aunque sigue siendo difícil encontrar evidencia concluyente, este desarrollo es consistente con una tendencia más amplia de ciberdelincuentes que aprovechan la inteligencia artificial (IA) generativa para crear malware incluso con poca o ninguna experiencia técnica.
«Con el surgimiento de otra campaña NGate, está claro que el fraude NFC está aumentando», dijo ESET. «Esta vez, en lugar de utilizar soluciones establecidas como NFCGate y MaaS, que se proporcionan, los atacantes decidieron troyanizar HandyPay, una aplicación con funcionalidad de retransmisión NFC existente».
Source link
