Investigadores en ciberseguridad han descubierto una nueva ola de malware para Android, denominada PhantomCard, que aprovecha la comunicación de campo cercano (NFC) para realizar ataques de retransmisión que permiten transacciones bancarias fraudulentas en Brasil.

PhantomCard funciona retransmitiendo los datos NFC de las tarjetas bancarias de las víctimas a dispositivos controlados por los atacantes. El malware se basa en una plataforma de malware NFC como servicio de origen chino, y se distribuye a través de páginas falsas que imitan Google Play, presentándose como aplicaciones legítimas de protección de tarjetas, a menudo con nombres como Proteção Cartões. Estas páginas incluyen reseñas positivas falsas para atraer a los usuarios a instalar la aplicación maliciosa, y es probable que su distribución utilice técnicas de ingeniería social, como smishing.

Una vez instalada, la aplicación indica a los usuarios que coloquen su tarjeta de crédito o débito en la parte posterior del teléfono, mostrando un mensaje como: “¡Tarjeta detectada! Mantenga la tarjeta cerca hasta que se complete la autenticación.” Mientras tanto, los datos de la tarjeta se transmiten en secreto a un servidor de retransmisión NFC controlado por el atacante. Luego, se solicita a la víctima que ingrese su código PIN, proporcionando a los ciberdelincuentes la información necesaria para autenticar y ejecutar transacciones fraudulentas.

Esta configuración establece un canal directo entre la tarjeta física de la víctima y el terminal de punto de venta (PoS) o cajero automático utilizado por el atacante, permitiendo que el ciberdelincuente use la tarjeta de manera remota. Una aplicación asociada en el dispositivo del “mula” garantiza la comunicación fluida entre el PoS y la tarjeta robada, de forma similar a campañas de malware previas como SuperCard X.

Los investigadores han identificado al desarrollador detrás de PhantomCard, conocido como Go1ano, como un revendedor prolífico de amenazas para Android en Brasil. PhantomCard está vinculado al malware NFU Pay como servicio, de origen chino, promocionado en Telegram y comercializado como indetectable a nivel global, compatible con todos los dispositivos PoS habilitados para NFC y considerado “socio confiable” de otras familias de malware como BTMOB y GhostSpy.

El aumento de malware de retransmisión NFC, junto con otras amenazas como SpyBanker que apunta a India, evidencia la creciente complejidad del fraude bancario móvil. SpyBanker, por ejemplo, manipula el desvío de llamadas para interceptar llamadas entrantes mientras recopila información bancaria sensible, mensajes SMS y detalles de la SIM. Algunos malwares incluso instalan mineros de criptomonedas como XMRig en los dispositivos infectados, mientras que las aplicaciones de phishing replican páginas oficiales de bancos para engañar a los usuarios y que revelen información personal.

Además, los atacantes están explotando cada vez más frameworks de root como KernelSU, APatch y SKRoot para escalar privilegios en dispositivos Android. Al comprometer el acceso root, las aplicaciones maliciosas pueden obtener control total del dispositivo si se ejecutan antes que la aplicación legítima, lo que resalta la importancia de una autenticación fuerte y controles de acceso adecuados.

La aparición de estas amenazas demuestra la sofisticación creciente de las campañas de malware para Android y la necesidad de que las instituciones financieras y los usuarios implementen medidas de seguridad rigurosas, supervisen la actividad global de amenazas y se mantengan atentos frente a técnicas avanzadas de fraude móvil.

Fuente: https://thehackernews.com/2025/08/new-android-malware-wave-hits-banking.html