El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, descubrió una nueva variante de malware que afecta una aplicación legítima de Android llamada HandyPay. Los actores de amenaza tomaron la app, que se utiliza para retransmitir datos NFC, y la parchearon con un código malicioso que habría sido generado por IA. Esta amenaza de fraude NFC afecta principalmente a Brasil y tiene potencial de réplica en otros países de América Latina.
El código malicioso permite a los atacantes transferir datos NFC desde la tarjeta de pago de la víctima hacia su propio dispositivo y utilizarlos para extracciones de efectivo en cajeros automáticos sin contacto y para pagos no autorizados. Además, el código también puede capturar el PIN de la tarjeta de pago de la víctima y exfiltrarlo hacia el servidor de los operadores.
Puntos clave de la investigación:
- El equipo de investigación de ESET descubrió una nueva variante del malware NGate que abusa de la aplicación legítima de Android HandyPay.
- Para troyanizar HandyPay, los actores de amenaza muy probablemente utilizaron GenAI, lo cual se evidencia por un emoji dejado en los logs, típico de texto generado por IA.
- La campaña estuvo activa desde noviembre de 2025 y apunta a usuarios de Android en Brasil.
- Además de retransmitir datos NFC, el código malicioso también roba los PIN de las tarjetas de pago.
ESET observa dos muestras de NGate distribuidas en los ataques: una a través de un sitio web falso de lotería y otra mediante un sitio falso de Google Play. Ambos sitios estaban alojados en el mismo dominio, lo que implica la participación de un único actor de amenaza.
Los ataques apuntan a usuarios en Brasil, con la app troyanizada distribuida principalmente a través de un sitio web que suplanta a una lotería brasileña, Rio de Prêmios, así como mediante una página falsa de Google Play de una supuesta aplicación de protección de tarjetas. No es la primera vez que una campaña de NGate pone el foco en Brasil, el ESET Threat Report H2 2025 detalla que los ataques basados en NFC se expanden hacia nuevas regiones mientras incorporan tácticas y técnicas más sofisticadas, siendo este país un objetivo en particular de una variante denominada PhantomCard. Los atacantes están experimentando con nuevos enfoques de ingeniería social y combinando cada vez más el abuso de NFC con capacidades propias de troyanos bancarios.
Pie de imagen: Distribución geográfica de los ataques NGate de enero de 2025 a febrero de 2026.
ESET cree que la campaña que distribuye la versión troyanizada de HandyPay comenzó alrededor de noviembre de 2025 y que continúa activa. También es importante destacar que la versión de HandyPay parcheada maliciosamente nunca estuvo disponible en la tienda oficial de Google Play. Como partner de App Defense Alliance, ESET comparte sus hallazgos con Google y los usuarios de Android están protegidos automáticamente contra versiones conocidas de este malware gracias a Google Play Protect, que se encuentra habilitado por defecto en los dispositivos Android con servicios de Google Play.
Asimismo, desde ESET contactaron al desarrollador de HandyPay para alertarlo sobre el uso malicioso de su aplicación. Tras establecer comunicación, confirmaron que se encuentran llevando a cabo una investigación interna de su lado.
A medida que el número de amenazas basadas en NFC continúa en aumento, desde ESET observan que también se vuelve más robusto el ecosistema que las respalda. Los primeros ataques de NGate emplearon la herramienta open source NFCGate para facilitar la transferencia de datos NFC. Desde entonces, comenzaron a estar disponibles para su compra varias ofertas de malware-as-a-service (MaaS) con funcionalidades similares, como NFU Pay y TX‑NFC. Estos kits se promocionan activamente entre afiliados en Telegram. Por ejemplo, los ataques PhantomCard mencionados anteriormente, que también apuntaron a Brasil, utilizaron NFU Pay para facilitar la transferencia de datos. Sin embargo, en el caso de esta campaña, los actores de amenaza optaron por su propia solución y parchearon maliciosamente una aplicación existente: HandyPay.
Piede imagen: NFU Pay MaaS anunciado en un canal de Telegram.
HandyPay (sitio web oficial) es una aplicación de Android que está disponible en Google Play desde 2021. Permite retransmitir datos NFC de un dispositivo a otro, lo que puede utilizarse para compartir una tarjeta con un familiar, permitir que un hijo realice una compra única, entre otros casos. Los datos se leen primero en el dispositivo del titular de la tarjeta y luego se comparten con un dispositivo vinculado. Después de que los usuarios vinculan sus cuentas por correo electrónico, el titular de la tarjeta escanea su tarjeta de pago mediante NFC, momento en el cual los datos cifrados se transfieren a través de internet al dispositivo emparejado. Ese dispositivo puede entonces ejecutar acciones de tap‑to‑pay utilizando la tarjeta del titular original. Para que el proceso funcione, los usuarios deben establecer HandyPay como la aplicación de pago predeterminada e iniciar sesión con Google o mediante un token basado en correo electrónico.
Según el sitio web del desarrollador, la app incluye cierto grado de monetización: el uso de la aplicación como lector es gratuito (“Guest access”), pero para emular la tarjeta en un dispositivo emparejado (“User access”) supuestamente es necesario suscribirse por €9,99 al mes. No obstante, el sitio presenta este cargo como una donación y el pago no se menciona en la página oficial de la aplicación en Google Play.
El equipo de investigación de ESET cree que los operadores de esta campaña decidieron troyanizar la app HandyPay en lugar de optar por una solución ya establecida para la retransmisión de datos NFC por una cuestión monetaria. Las tarifas de suscripción de los kits MaaS existentes se ubican en el orden de los cientos de dólares: NFU Pay publicita su producto por casi US$400 al mes, mientras que TX‑NFC ronda los US$500 mensuales. HandyPay, en cambio, resulta significativamente más económico, ya que solo solicita una donación de €9,99 al mes, si es que siquiera se paga. Además del precio, HandyPay de forma nativa no requiere permisos, sino únicamente ser configurada como la app de pago predeterminada, lo que ayuda a los actores de amenaza a evitar levantar sospechas.
Otro punto destacado por ESET es que el código malicioso utilizado para troyanizar HandyPay muestra indicios de haber sido producido con la ayuda de herramientas de GenAI. En particular, los logs del malware contienen emojis típicos de texto generado por IA, lo que sugiere que se utilizaron LLMs para generar o modificar el código, aunque la evidencia definitiva sigue siendo esquiva. Esto encaja con una tendencia más amplia en la que la GenAI reduce la barrera de entrada para el cibercrimen, permitiendo que actores de amenaza con habilidades técnicas limitadas puedan desarrollar malware funcional.
“Con la aparición de otra campaña más de NGate, queda claramente en evidencia que el fraude basado en NFC está en crecimiento. En esta ocasión, en lugar de utilizar una solución ya establecida como NFCGate o alguno de los MaaS disponibles en el mercado, los actores de amenaza optaron por troyanizar HandyPay, una aplicación que ya contaba con funcionalidades de retransmisión NFC. La alta probabilidad de que se haya utilizado GenAI para ayudar en la creación del código malicioso demuestra cómo los ciberdelincuentes pueden causar daño abusando de LLMs incluso sin necesidad de contar con conocimientos técnicos avanzados.”, comenta Lukas Stefanko, Malware Researcher de ESET.
Para saber más ESET puede ingresar a: https://www.welivesecurity.com/es/investigaciones/ngate-brasil-fraude-nfc-handypay/
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw
