{"id":179550,"date":"2026-04-30T11:39:17","date_gmt":"2026-04-30T14:39:17","guid":{"rendered":"https:\/\/www.itsitio.com\/co\/?p=179550"},"modified":"2026-04-30T11:39:17","modified_gmt":"2026-04-30T14:39:17","slug":"descubren-fraude-en-aplicacion-de-pagos-nfc-legitima","status":"publish","type":"post","link":"https:\/\/www.itsitio.com\/co\/seguridad\/descubren-fraude-en-aplicacion-de-pagos-nfc-legitima\/","title":{"rendered":"Descubren fraude en aplicaci\u00f3n de pagos NFC legitima\u00a0"},"content":{"rendered":"

El equipo de investigaci\u00f3n de<\/span>\u00a0ESET<\/a><\/strong>, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, descubri\u00f3 una nueva variante de malware que afecta una aplicaci\u00f3n leg\u00edtima de Android llamada HandyPay. Los actores de amenaza tomaron la app, que se utiliza para retransmitir datos NFC, y la parchearon con un c\u00f3digo malicioso que habr\u00eda sido generado por IA. Esta amenaza de fraude NFC afecta principalmente a Brasil y tiene potencial de r\u00e9plica en otros pa\u00edses de Am\u00e9rica Latina<\/strong>.<\/p>\n

El c\u00f3digo malicioso permite a los atacantes transferir datos NFC desde la tarjeta de pago de la v\u00edctima hacia su propio dispositivo y utilizarlos para extracciones de efectivo en cajeros autom\u00e1ticos sin contacto y para pagos no autorizados. Adem\u00e1s, el c\u00f3digo tambi\u00e9n puede capturar el PIN de la tarjeta de pago de la v\u00edctima y exfiltrarlo hacia el servidor de los operadores.<\/p>\n

Los ataques apuntan a usuarios en Brasil, con la app troyanizada distribuida principalmente a trav\u00e9s de un sitio web que suplanta a una loter\u00eda brasile\u00f1a, Rio de Pr\u00eamios, as\u00ed como mediante una p\u00e1gina falsa de Google Play de una supuesta aplicaci\u00f3n de protecci\u00f3n de tarjetas.<\/p>\n

Fraude NFC con HandyPay troyanizada pone en alerta a usuarios de Android<\/span><\/h2>\n

No es la primera vez que una campa\u00f1a de NGate pone el foco en Brasil, el ESET Threat Report H2 2025<\/a>\u00a0detalla que los ataques basados en NFC se expanden hacia nuevas regiones mientras incorporan t\u00e1cticas y t\u00e9cnicas m\u00e1s sofisticadas, siendo este pa\u00eds un objetivo en particular de una variante denominada PhantomCard. Los atacantes est\u00e1n experimentando con nuevos enfoques de ingenier\u00eda social y combinando cada vez m\u00e1s el abuso de NFC con capacidades propias de troyanos bancarios.<\/p>\n

\"Pie
Pie de imagen: Distribuci\u00f3n geogr\u00e1fica de los ataques NGate de enero de 2025 a febrero de 2026.<\/figcaption><\/figure>\n

ESET cree que la campa\u00f1a que distribuye la versi\u00f3n troyanizada de HandyPay comenz\u00f3 alrededor de noviembre de 2025 y que contin\u00faa activa. Tambi\u00e9n es importante destacar que la versi\u00f3n de HandyPay parcheada maliciosamente nunca estuvo disponible en la tienda oficial de Google Play.<\/p>\n

Como partner de App Defense Alliance, ESET comparte sus hallazgos con Google y los usuarios de Android est\u00e1n protegidos autom\u00e1ticamente contra versiones conocidas de este malware gracias a Google Play Protect<\/a>, que se encuentra habilitado por defecto en los dispositivos Android con servicios de Google Play.<\/p>\n

Asimismo, desde ESET contactaron al desarrollador de HandyPay para alertarlo sobre el uso malicioso de su aplicaci\u00f3n. Tras establecer comunicaci\u00f3n, confirmaron que se encuentran llevando a cabo una investigaci\u00f3n interna de su lado.<\/p>\n

A medida que el n\u00famero de amenazas basadas en NFC contin\u00faa en aumento, desde ESET observan que tambi\u00e9n se vuelve m\u00e1s robusto el ecosistema que las respalda. Los primeros ataques de NGate<\/a>\u00a0emplearon la herramienta open source NFCGate para facilitar la transferencia de datos NFC. Desde entonces, comenzaron a estar disponibles para su compra varias ofertas de malware-as-a-service (MaaS) con funcionalidades similares, como\u00a0NFU Pay<\/a>\u00a0y\u00a0TX\u2011NFC<\/a>.<\/p>\n

\"El
El malware permite interceptar y retransmitir datos NFC de tarjetas de pago hacia dispositivos controlados por los atacantes.<\/figcaption><\/figure>\n

Estos kits se promocionan activamente entre afiliados en Telegram. Por ejemplo, los ataques PhantomCard mencionados anteriormente, que tambi\u00e9n apuntaron a Brasil, utilizaron NFU Pay para facilitar la transferencia de datos. Sin embargo, en el caso de esta campa\u00f1a, los actores de amenaza optaron por su propia soluci\u00f3n y parchearon maliciosamente una aplicaci\u00f3n existente: HandyPay.<\/p>\n

HandyPay (sitio web oficial<\/a>) es una aplicaci\u00f3n de Android que est\u00e1 disponible en Google Play desde 2021. Permite retransmitir datos NFC de un dispositivo a otro, lo que puede utilizarse para compartir una tarjeta con un familiar, permitir que un hijo realice una compra \u00fanica, entre otros casos. Los datos se leen primero en el dispositivo del titular de la tarjeta y luego se comparten con un dispositivo vinculado.<\/p>\n

Despu\u00e9s de que los usuarios vinculan sus cuentas por correo electr\u00f3nico, el titular de la tarjeta escanea su tarjeta de pago mediante NFC, momento en el cual los datos cifrados se transfieren a trav\u00e9s de internet al dispositivo emparejado. Ese dispositivo puede entonces ejecutar acciones de tap\u2011to\u2011pay utilizando la tarjeta del titular original. Para que el proceso funcione, los usuarios deben establecer HandyPay como la aplicaci\u00f3n de pago predeterminada e iniciar sesi\u00f3n con Google o mediante un token basado en correo electr\u00f3nico.<\/p>\n

Seg\u00fan el sitio web del desarrollador, la app incluye cierto grado de monetizaci\u00f3n: el uso de la aplicaci\u00f3n como lector es gratuito (\u201cGuest access\u201d), pero para emular la tarjeta en un dispositivo emparejado (\u201cUser access\u201d) supuestamente es necesario suscribirse por \u20ac9,99 al mes. No obstante, el sitio presenta este cargo como una donaci\u00f3n y el pago no se menciona en la p\u00e1gina oficial de la aplicaci\u00f3n en Google Play.<\/p>\n

\"El
El c\u00f3digo malicioso presenta indicios de haber sido generado con herramientas de inteligencia artificial, reduciendo la barrera de entrada al cibercrimen.<\/figcaption><\/figure>\n

El equipo de investigaci\u00f3n de ESET cree que los operadores de esta campa\u00f1a decidieron troyanizar la app HandyPay en lugar de optar por una soluci\u00f3n ya establecida para la retransmisi\u00f3n de datos NFC por una cuesti\u00f3n monetaria. Las tarifas de suscripci\u00f3n de los kits MaaS existentes se ubican en el orden de los cientos de d\u00f3lares: NFU Pay publicita su producto por casi US$400 al mes, mientras que TX\u2011NFC ronda los US$500 mensuales.<\/p>\n

HandyPay, en cambio, resulta significativamente m\u00e1s econ\u00f3mico, ya que solo solicita una donaci\u00f3n de \u20ac9,99 al mes, si es que siquiera se paga. Adem\u00e1s del precio, HandyPay de forma nativa no requiere permisos, sino \u00fanicamente ser configurada como la app de pago predeterminada, lo que ayuda a los actores de amenaza a evitar levantar sospechas.<\/p>\n

Otro punto destacado por ESET es que el c\u00f3digo malicioso utilizado para troyanizar HandyPay muestra indicios de haber sido producido con la ayuda de herramientas de GenAI. En particular, los logs del malware contienen emojis t\u00edpicos de texto generado por IA, lo que sugiere que se utilizaron LLMs para generar o modificar el c\u00f3digo, aunque la evidencia definitiva sigue siendo esquiva.<\/p>\n

Esto encaja con una tendencia m\u00e1s amplia en la que la GenAI reduce la barrera de entrada para el cibercrimen, permitiendo que actores de amenaza con habilidades t\u00e9cnicas limitadas puedan desarrollar malware funcional.<\/p>\n

\u201cCon la aparici\u00f3n de otra campa\u00f1a m\u00e1s de NGate, queda claramente en evidencia que el fraude basado en NFC est\u00e1 en crecimiento. En esta ocasi\u00f3n, en lugar de utilizar una soluci\u00f3n ya establecida como NFCGate o alguno de los MaaS disponibles en el mercado, los actores de amenaza optaron por troyanizar HandyPay, una aplicaci\u00f3n que ya contaba con funcionalidades de retransmisi\u00f3n NFC. La alta probabilidad de que se haya utilizado GenAI para ayudar en la creaci\u00f3n del c\u00f3digo malicioso demuestra c\u00f3mo los ciberdelincuentes pueden causar da\u00f1o abusando de LLMs incluso sin necesidad de contar con conocimientos t\u00e9cnicos avanzados\u201d, <\/em>coment\u00f3 Lukas Stefanko, Malware Researcher de ESET<\/strong>.<\/p>\n

Leer m\u00e1s<\/span><\/h3>\n