Hackers utilizan malware de retransmisión NFC para clonar transacciones de pago sin contacto en Android.

Una nueva investigación de la empresa de seguridad móvil Zimperium ha revelado una amenaza de ciberseguridad en rápido crecimiento que afecta a los usuarios de Android a través de sus sistemas de pago sin contacto. El equipo de investigación de la compañía, zLabs, ha estado rastreando cientos de aplicaciones maliciosas que utilizan las funciones de comunicación de campo cercano (NFC) y emulación de tarjeta de host (HCE) de Android para robar datos de pago, convirtiendo los teléfonos infectados en herramientas para el fraude de pagos.

Desde abril de 2024, los analistas han descubierto más de 760 aplicaciones maliciosas diseñadas para interceptar datos de tarjetas en tiempo real. Aunque comenzó con algunos casos aislados, ahora se ha convertido en un problema global, con infecciones detectadas en Rusia, Polonia, la República Checa, Eslovaquia, Brasil y otros países.

Los hallazgos, publicados en el informe de Zimperium titulado “Tap-and-Steal: The Rise of NFC Relay Malware on Mobile Devices” (Tocar y robar: El auge del malware de retransmisión NFC en dispositivos móviles), muestran que este método de ataque se está propagando rápidamente a medida que los ciberdelincuentes buscan nuevas formas de explotar los pagos móviles.

Las aplicaciones maliciosas se hacen pasar por aplicaciones bancarias o gubernamentales oficiales, copiando la apariencia de marcas de confianza como Google Pay, VTB Bank, Santander y el Portal de Servicios Estatales Rusos (Gosuslugi).

Una vez instaladas, estas aplicaciones falsas solicitan a los usuarios que las configuren como su método de pago predeterminado. Sin embargo, en realidad, activan la función de retransmisión NFC, que envía los datos de la tarjeta a servidores remotos controlados por los atacantes, permitiéndoles realizar transacciones fraudulentas casi instantáneamente.

Según la publicación del blog de Zimperium compartida con Hackread.com, la operación involucra más de 70 servidores de comando y control y numerosos bots de Telegram que coordinan la estafa y la reventa de datos financieros.

El malware se comunica mediante comandos estructurados: un dispositivo infectado recopila datos de pago y otro los utiliza para completar transacciones en un terminal físico. Todo el intercambio se realiza mediante retransmisión en tiempo real, lo que permite a los atacantes falsificar pagos NFC legítimos sin tener acceso físico a la tarjeta de la víctima.

Los investigadores también observaron que estas aplicaciones están cuidadosamente disfrazadas. Muestran interfaces de apariencia auténtica dentro de una simple vista web, a menudo con logotipos y texto reales de instituciones financieras para convencer a los usuarios de su autenticidad.

Una vez que el dispositivo se ve comprometido, la aplicación transmite silenciosamente información confidencial como números de tarjeta, fechas de vencimiento y datos EMV a través de canales privados de Telegram, donde los ciberdelincuentes gestionan las credenciales robadas y las ventas.

A diferencia de los troyanos bancarios tradicionales que dependen de superposiciones o la interceptación de SMS, esta nueva generación de malware aprovecha la capacidad de emulación de tarjeta de host de Android para simular una tarjeta de pago virtual. Se trata de un método más directo y eficiente que elude las medidas de seguridad diseñadas para los tipos de malware más antiguos dirigidos a datos financieros.

Los sistemas de detección de Zimperium ya han identificado y bloqueado diversas familias de malware de retransmisión NFC a través de sus plataformas Mobile Threat Defense (MTD) y zDefend. Sin embargo, los hallazgos de la compañía señalan la necesidad de una mayor protección para los permisos NFC y los privilegios de pago.

Si eres usuario de Android, la mejor protección por ahora incluye descargar aplicaciones desde la tienda oficial de Google Play, evitar tiendas de terceros, usar software de seguridad móvil actualizado, usar el sentido común y estar alerta ante solicitudes desconocidas relacionadas con la configuración de pago.