El equipo de investigación de ESET descubrió una nueva variante de malware que afecta a una aplicación legítima de Android llamada HandyPay. Los actores de amenaza tomaron la app, que se utiliza para retransmitir datos NFC, y la parchearon con un código malicioso que habría sido generado por IA. Esta amenaza de fraude NFC afecta principalmente a Brasil y tiene potencial de réplica en otros países de América Latina.
El código malicioso permite a los atacantes transferir datos NFC desde la tarjeta de pago de la víctima hacia su propio dispositivo y utilizarlos para extracciones de efectivo en cajeros automáticos sin contacto y para pagos no autorizados. Además, el código también puede capturar el PIN de la tarjeta de pago de la víctima y exfiltrarlo hacia el servidor de los operadores.
El equipo de investigación de ESET descubrió una nueva variante del malware NGate que abusa de la aplicación legítima de Android HandyPay. Para troyanizar HandyPay, los actores de amenaza muy probablemente utilizaron GenAI, lo cual se evidencia por un emoji dejado en los logs, típico de texto generado por IA. La campaña estuvo activa desde noviembre de 2025 y apunta a usuarios de Android en Brasil. Además de retransmitir datos NFC, el código malicioso también roba los PIN de las tarjetas de pago.
No es la primera vez que una campaña de NGate pone el foco en Brasil, el ESET Threat Report H2 2025 detalla que los ataques basados en NFC se expanden hacia nuevas regiones mientras incorporan tácticas y técnicas más sofisticadas, siendo este país un objetivo en particular de una variante denominada PhantomCard. Los atacantes están experimentando con nuevos enfoques de ingeniería social y combinando cada vez más el abuso de NFC con capacidades propias de troyanos bancarios.
A medida que el número de amenazas basadas en NFC continúa en aumento, desde ESET observan que también se vuelve más robusto el ecosistema que las respalda. Los primeros ataques de NGate emplearon la herramienta open source NFCGate para facilitar la transferencia de datos NFC.
Otro punto destacado por ESET es que el código malicioso utilizado para troyanizar HandyPay muestra indicios de haber sido producido con la ayuda de herramientas de GenAI. En particular, los logs del malware contienen emojis típicos de texto generado por IA, lo que sugiere que se utilizaron LLMs para generar o modificar el código, aunque la evidencia definitiva sigue siendo esquiva.
“Con la aparición de otra campaña más de NGate, queda claramente en evidencia que el fraude basado en NFC está en crecimiento. En esta ocasión, en lugar de utilizar una solución ya establecida como NFCGate o alguno de los MaaS disponibles en el mercado, los actores de amenaza optaron por troyanizar HandyPay, una aplicación que ya contaba con funcionalidades de retransmisión NFC. La alta probabilidad de que se haya utilizado GenAI para ayudar en la creación del código malicioso demuestra cómo los ciberdelincuentes pueden causar daño abusando de LLMs incluso sin necesidad de contar con conocimientos técnicos avanzados”, comenta Lukas Stefanko, Malware Researcher de ESET.
Fuente: ESET Latinoamérica
