ESET Research ha alertado sobre la detección de una nueva variante de la familia de malware NGate que explota una aplicación legítima de Android llamada HandyPay. Este nuevo enfoque reemplaza al anterior uso de la herramienta NFCGate. Los delincuentes cibernéticos han modificado la aplicación para incluir código malicioso, que se sospecha ha sido generado por inteligencia artificial. Al igual que sus predecesores, esta variante permite a los atacantes transferir datos NFC de tarjetas de pago de las víctimas a su propio dispositivo, lo que les facilita realizar retiros de efectivo no autorizados en cajeros automáticos y pagos fraudulentos. Además, el código malicioso tiene la capacidad de capturar el PIN de la tarjeta de pago de la víctima y enviarlo a un servidor de comando y control.
Desde noviembre de 2025, esta campaña ha estado activa y se dirige principalmente a usuarios de Android en Brasil. El malware se distribuye a través de un sitio web falso que imita una lotería brasileña llamada Rio de Prêmios, así como una página falsa de Google Play para una supuesta aplicación de protección de tarjeta. Este no es el primer ataque del tipo NGate dirigido a Brasil; versiones anteriores, como PhantomCard, también han estado involucradas en campañas similares que utilizan tácticas de ingeniería social complejas combinadas con capacidades de troyanos bancarios.
Se ha establecido comunicación con los desarrolladores de HandyPay para informarles sobre el uso malicioso de su aplicación y han confirmado que están llevando a cabo una investigación interna. Con el auge de las amenazas basadas en NFC, la diversidad de herramientas que las soportan ha aumentado, permitiendo que operativas como esta se expandan rápidamente.
Se ha observado que la versión maliciosa de HandyPay nunca estuvo disponible en la tienda oficial de Google Play. Este hecho, sumado a la protección automática que Google Play Protect ofrece a los usuarios de Android, garantiza que muchos de ellos estén resguardados contra esta amenaza. Sin embargo, los usuarios deben ser cautelosos y mantenerse informados sobre los riesgos que conlleva la descarga de aplicaciones de fuentes no oficiales.
Las tácticas de los atacantes, la sofisticación del código y el uso de AI en la creación del mismo reflejan cómo los cibercriminales están evolucionando y adaptando sus métodos, lo que plantea un desafío continuo para la seguridad digital en la región.
Fuente: WeLiveSecurity by eSet.
