Investigadores de ciberseguridad han descubierto una nueva versión de una familia de malware para Android llamada NGate que se ha descubierto que abusa de una aplicación legítima llamada HandyPay en lugar de NFCGate.

«Los atacantes tomaron la aplicación, que se utiliza para transmitir datos NFC, y la parchearon con un código malicioso que parece haber sido generado por IA», dijo el investigador de seguridad de ESET Lukáš Štefanko. dicho en un informe compartido con The Hacker News. «Al igual que con versiones anteriores de NGate, el código malicioso permite a los atacantes transferir datos NFC desde la tarjeta de pago de la víctima a su propio dispositivo y utilizarlos para retiros en cajeros automáticos sin contacto y pagos no autorizados».

Además, la carga maliciosa es capaz de capturar el PIN de la tarjeta de pago de la víctima y exfiltrarlo al servidor de comando y control (C2) del actor de la amenaza.

NGate, también conocido como NFSkate, fue documentado públicamente por primera vez por el proveedor de ciberseguridad eslovaco en agosto de 2024, detallando su capacidad para llevar a cabo ataques de retransmisión para desviar los datos de pago sin contacto de las víctimas con el objetivo de realizar transacciones fraudulentas.

Un año después, la empresa holandesa de seguridad móvil ThreatFabric detalló una amenaza con el nombre en código RatOn que utilizaba aplicaciones dropper que se hacían pasar por versiones de TikTok para adultos para implementar NGate y llevar a cabo ataques de retransmisión NFC.

La última versión de NGate detectada por ESET se ha dirigido principalmente a usuarios de Brasil, lo que marca la primera campaña de este tipo que destaca a la nación sudamericana. La aplicación troyanizada HandyPay se distribuye a través de sitios web que se hacen pasar por Rio de Prêmios, una lotería administrada por la organización de lotería del estado de Río de Janeiro, y una página de listado de Google Play Store para una supuesta aplicación de protección de tarjetas.

El sitio web falso de lotería busca convencer al usuario de que toque un botón para enviar un mensaje de WhatsApp y reclamar el dinero del premio, momento en el que se le indica que probablemente descargue la versión envenenada de la aplicación HandyPay. Independientemente del método utilizado, la aplicación solicita ser configurada como la aplicación de pago predeterminada después de la instalación.

Luego, se le pide a la víctima que ingrese el PIN de la tarjeta de pago en la aplicación y toque su tarjeta en la parte posterior del teléfono inteligente con NFC. Tan pronto como se lleva a cabo este paso, el malware abusa de HandyPay para capturar y transmitir los datos de la tarjeta NFC a un dispositivo controlado por el atacante, permitiéndole así utilizar la información robada para realizar retiros de efectivo en cajeros automáticos.

Se estima que la campaña activa comenzó alrededor de noviembre de 2025. La versión maliciosa de HandyPay nunca estuvo disponible en Google Play Store, lo que significa que los atacantes están utilizando los métodos antes mencionados como mecanismos de entrega para engañar a usuarios desprevenidos para que los descarguen. Desde entonces, HandyPay ha iniciado una investigación interna sobre el asunto.

ESET señaló que los precios de suscripción más baratos para HandyPay pueden haber provocado que los operadores de la campaña cambiaran en lugar de quedarse con las soluciones llave en mano existentes que cuestan más de 400 dólares al mes. «Además del precio, HandyPay de forma nativa no requiere ningún permiso, solo debe convertirse en la aplicación de pago predeterminada, lo que ayuda a los actores de amenazas a evitar levantar sospechas», señaló la compañía.

Un análisis del artefacto ha revelado la presencia de emojis en mensajes de depuración y brindis, destacando el posible uso de un modelo de lenguaje grande (LLM) para generar o modificar el código fuente. Si bien sigue siendo difícil encontrar pruebas concluyentes, el desarrollo se alinea con una tendencia más amplia de los ciberdelincuentes a recurrir a la inteligencia artificial (IA) generativa para producir malware incluso con poca o ninguna experiencia técnica.

«Con la aparición de otra campaña NGate en escena, se puede ver claramente que el fraude NFC está aumentando», dijo ESET. «Esta vez, en lugar de utilizar una solución establecida como NFCGate o un MaaS, los atacantes decidieron troyanizar HandyPay, una aplicación con funcionalidad de retransmisión NFC existente».