Campaña maliciosa de NGate

Analistas de ciberseguridad han identificado una nueva variante de la familia de malware para Android conocida como NGate, que ahora explota una aplicación legítima llamada HandyPay en lugar de depender de NFCGate. Esta evolución pone de manifiesto un cambio en la estrategia de los atacantes, que utilizan herramientas de confianza para mejorar la eficacia y el sigilo de sus operaciones maliciosas.

Los atacantes modificaron HandyPay, una aplicación diseñada originalmente para transmitir datos NFC, inyectándole código malicioso. Algunos indicios sugieren que parte de este código podría haber sido generado mediante inteligencia artificial.

Al igual que las versiones anteriores de NGate, esta aplicación modificada permite a los atacantes interceptar y transferir datos NFC de la tarjeta de pago de la víctima a un dispositivo bajo su control. Estos datos robados se utilizan posteriormente para realizar retiros sin contacto en cajeros automáticos y transacciones no autorizadas.

Además de interceptar datos, el malware es capaz de capturar el PIN de la tarjeta de pago de la víctima y transmitirlo a un servidor remoto de comando y control (C2), lo que aumenta significativamente el riesgo de sufrir daños financieros.

De NFSkate a RatOn: El manual de estrategias en expansión del malware

NGate, también conocido como NFSkate, se dio a conocer públicamente en agosto de 2024, cuando investigadores documentaron su capacidad para realizar ataques de retransmisión NFC con el objetivo de obtener datos de pagos sin contacto para su uso fraudulento. Con el tiempo, sus mecanismos de distribución y tácticas operativas han evolucionado.

Para 2025, una campaña relacionada, identificada como RatOn, introdujo aplicaciones maliciosas disfrazadas de versiones para adultos de TikTok. Estas aplicaciones engañosas se utilizaron para desplegar NGate y ejecutar ataques de retransmisión NFC, lo que demuestra la creciente sofisticación de las técnicas de ingeniería social.

Brasil en el punto de mira: Surge una campaña específica

La última campaña de NGate representa un cambio significativo en la segmentación geográfica, centrándose principalmente en usuarios de Brasil. Este es el primer caso conocido de malware diseñado específicamente para el público sudamericano.

Los métodos de distribución se basan en gran medida en el engaño. Los atacantes utilizan sitios web falsos que suplantan la identidad de Rio de Prêmios, una lotería asociada a la organización de loterías del estado de Río de Janeiro, junto con páginas fraudulentas en Google Play Store que promocionan una supuesta aplicación de protección de tarjetas. Estos canales están diseñados para engañar a los usuarios y que descarguen una versión comprometida de HandyPay.

Cadena de infección: Cómo se manipula a las víctimas

La secuencia de ataque se basa en una ingeniería social cuidadosamente orquestada y en la interacción con el usuario:

• Las víctimas son engañadas a través de un sitio web de lotería falso y se les incita a iniciar un mensaje de WhatsApp para reclamar los premios.

• Los usuarios son redirigidos para descargar una versión troyanizada de HandyPay.

• La aplicación solicita ser configurada como la aplicación de pago predeterminada al instalarse.

• Se les indica a las víctimas que ingresen el PIN de su tarjeta de pago y acerquen su tarjeta al dispositivo.

• Los datos NFC se capturan y se transmiten en tiempo real a un dispositivo controlado por el atacante.

Una vez ejecutado el ataque, los atacantes obtienen la capacidad de realizar retiros no autorizados en cajeros automáticos y transacciones de pago utilizando las credenciales robadas.

Sigilo y estrategia: ¿Por qué se eligió HandyPay?

Se cree que la campaña, iniciada alrededor de noviembre de 2025, evidencia un cambio deliberado en las herramientas empleadas. La versión maliciosa de HandyPay nunca se distribuyó a través de la tienda oficial de Google Play, lo que confirma que los atacantes recurren exclusivamente a técnicas de distribución engañosas.
Varios factores probablemente influyeron en la decisión de utilizar HandyPay como arma. Su menor costo de suscripción, en comparación con otras soluciones que a menudo superan los 400 dólares mensuales, la convierte en una opción económica para los ciberdelincuentes. Además, la aplicación no requiere permisos especiales; basta con configurarla como la aplicación de pago predeterminada. Esto reduce las sospechas y aumenta la probabilidad de una instalación exitosa.

HandyPay ha iniciado una investigación interna en respuesta al uso indebido de su plataforma.

Inteligencia artificial en el desarrollo de malware: una preocupación creciente

El análisis técnico del malware ha revelado elementos inusuales, como la presencia de emojis en los mensajes de depuración y del sistema. Esta anomalía sugiere la posible participación de modelos de lenguaje complejos en la generación o modificación del código malicioso.

Aunque la atribución definitiva a la IA aún no se ha confirmado, los hallazgos coinciden con una tendencia más amplia del sector en la que los ciberdelincuentes utilizan cada vez más la inteligencia artificial generativa para agilizar el desarrollo de malware. Esto reduce las barreras de entrada, permitiendo que personas con conocimientos técnicos limitados creen amenazas sofisticadas.

Panorama de amenazas en aumento: el fraude NFC va en auge.

La aparición de esta nueva variante de NGate pone de manifiesto una tendencia creciente en el fraude financiero basado en NFC. En lugar de recurrir a herramientas ya establecidas como NFCGate o plataformas de malware como servicio, los atacantes están reutilizando aplicaciones legítimas con funcionalidad NFC integrada.

Este enfoque mejora tanto la eficiencia operativa como las capacidades de evasión, lo que indica una preocupante evolución en las tácticas de las amenazas móviles y refuerza la necesidad de una mayor vigilancia en la seguridad de los pagos móviles.