La nueva variante del malware Android abusa de una app legítima de relay NFC para capturar datos de tarjetas de pago y PINs. El código malicioso contiene indicios de haber sido generado con herramientas de IA.
Investigadores de ESET han descubierto una nueva variante de la familia de malware NGate que troyaniza HandyPay, una aplicación legítima de Android utilizada para retransmitir datos NFC entre dispositivos. La campaña, activa desde noviembre de 2025, targeting exclusivamente a usuarios en Brasil y representa una evolución significativa en las tácticas de fraude móvil, el código malicioso insertado en la app contiene marcadores típicos de herramientas de inteligencia artificial generativa, lo que sugiere que los actores de amenazas están utilizando GenAI para acelerar el desarrollo de malware.
HandyPay es una aplicación disponible en Google Play desde 2021 que permite compartir datos de tarjetas de pago entre dispositivos vinculados. Su funcionalidad legítima, retransmitir información NFC para que un dispositivo pueda ejecutar pagos contactless usando la tarjeta de otro usuario— fue subvertida por los atacantes. Según el análisis publicado por ESET, los threat actors tomaron la app original, la parchearon con código malicioso y la distribuyeron fuera de la tienda oficial. Una vez instalada, la versión comprometida captura los datos NFC de las tarjetas de pago de las víctimas y los transmite a dispositivos controlados por los atacantes, quienes pueden ejecutar retiros en cajeros automáticos contactless y pagos no autorizados.
La distribución del malware se canalizó a través de dos vectores de phishing alojados en el mismo dominio, un sitio que suplanta la lotería brasileña Rio de Prêmios y otro que imita una página de Google Play para una supuesta app de protección de tarjetas. Esta convergencia de infraestructura sugiere un único actor detrás de la operación.
El hecho de que HandyPay nunca estuvo disponible en Google Play en su versión maliciosa es relevante, Google Play Protect, habilitado por defecto en dispositivos con servicios de Google, detecta las variantes conocidas del malware. Sin embargo, los usuarios que instalan APKs desde fuentes externas permanecen expuestos.
El indicio más inquietante del análisis es la presencia de emojis en los registros de depuración del código malicioso, un patrón recurrente en texto generado por modelos de lenguaje grandes. Si bien no es una prueba definitiva, este hallazgo se alinea con una tendencia creciente, actores de amenazas utilizando herramientas de IA para generar código funcional sin necesidad de habilidades avanzadas de programación. Esta democratización del desarrollo de malware reduce las barreras de entrada para nuevos actores y acelera la proliferación de variantes.
Desde una perspectiva defensiva, los equipos de seguridad en LATAM deben monitorear la aparición de apps que soliciten permisos de pago NFC predeterminado, especialmente si provienen de fuentes no oficiales. Las soluciones EDR móviles con análisis comportamental pueden detectar anomalías en el flujo de datos NFC. Para los usuarios finales, la recomendación permanece invariable, instalar aplicaciones exclusivamente desde Google Play y mantener Play Protect activado. ESET ha compartido sus hallazgos con Google y con el desarrollador de HandyPay, quien ha iniciado una investigación interna sobre el uso indebido de su aplicación.
FUENTE ORIGINAL
WeLiveSecurity↗CURADO POR
Santiago Torres