El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, descubrió una nueva variante de malware que afecta una aplicación legítima de Android llamada HandyPay. Los actores de amenaza tomaron la app, que se utiliza para retransmitir datos NFC, y la parchearon con un código malicioso que habría sido generado por IA. Esta amenaza de fraude NFC afecta principalmente a Brasil y tiene potencial de réplica en otros países de América Latina.
El código malicioso permite a los atacantes transferir datos NFC desde la tarjeta de pago de la víctima hacia su propio dispositivo y utilizarlos para extracciones de efectivo en cajeros automáticos sin contacto y para pagos no autorizados. Además, el código también puede capturar el PIN de la tarjeta de pago de la víctima y exfiltrarlo hacia el servidor de los operadores.
Puntos clave de la investigación:
- El equipo de investigación de ESET descubrió una nueva variante del malware NGate que abusa de la aplicación legítima de Android HandyPay.
- Para troyanizar HandyPay, los actores de amenaza muy probablemente utilizaron GenAI, lo cual se evidencia por un emoji dejado en los logs, típico de texto generado por IA.
- La campaña estuvo activa desde noviembre de 2025 y apunta a usuarios de Android en Brasil.
- Además de retransmitir datos NFC, el código malicioso también roba los PIN de las tarjetas de pago.
- ESET observa dos muestras de NGate distribuidas en los ataques: una a través de un sitio web falso de lotería y otra mediante un sitio falso de Google Play. Ambos sitios estaban alojados en el mismo dominio, lo que implica la participación de un único actor de amenaza.
Los ataques apuntan a usuarios en Brasil, con la app troyanizada distribuida principalmente a través de un sitio web que suplanta a una lotería brasileña, Rio de Prêmios, así como mediante una página falsa de Google Play de una supuesta aplicación de protección de tarjetas. No es la primera vez que una campaña de NGate pone el foco en Brasil, el ESET Threat Report H2 2025 detalla que los ataques basados en NFC se expanden hacia nuevas regiones mientras incorporan tácticas y técnicas más sofisticadas, siendo este país un objetivo en particular de una variante denominada PhantomCard. Los atacantes están experimentando con nuevos enfoques de ingeniería social y combinando cada vez más el abuso de NFC con capacidades propias de troyanos bancarios.
ESET cree que la campaña que distribuye la versión troyanizada de HandyPay comenzó alrededor de noviembre de 2025 y que continúa activa. También es importante destacar que la versión de HandyPay parcheada maliciosamente nunca estuvo disponible en la tienda oficial de Google Play. Como partner de App Defense Alliance, ESET comparte sus hallazgos con Google y los usuarios de Android están protegidos automáticamente contra versiones conocidas de este malware gracias a Google Play Protect, que se encuentra habilitado por defecto en los dispositivos Android con servicios de Google Play.
Asimismo, desde ESET contactaron al desarrollador de HandyPay para alertarlo sobre el uso malicioso de su aplicación. Tras establecer comunicación, confirmaron que se encuentran llevando a cabo una investigación interna de su lado.
A medida que el número de amenazas basadas en NFC continúa en aumento, desde ESET observan que también se vuelve más robusto el ecosistema que las respalda. Los primeros ataques de NGate emplearon la herramienta open source NFCGate para facilitar la transferencia de datos NFC. Desde entonces, comenzaron a estar disponibles para su compra varias ofertas de malware-as-a-service (MaaS) con funcionalidades similares, como NFU Pay y TX‑NFC. Estos kits se promocionan activamente entre afiliados en Telegram. Por ejemplo, los ataques PhantomCard mencionados anteriormente, que también apuntaron a Brasil, utilizaron NFU Pay para facilitar la transferencia de datos. Sin embargo, en el caso de esta campaña, los actores de amenaza optaron por su propia solución y parchearon maliciosamente una aplicación existente: HandyPay.
