{"id":617,"date":"2026-04-21T14:38:08","date_gmt":"2026-04-21T14:38:08","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/21\/la-campana-de-ngate-se-dirige-a-brasil-y-troyaniza-handypay-para-robar-datos-y-pin-de-nfc-cyberdefensa-mx\/"},"modified":"2026-04-21T14:38:08","modified_gmt":"2026-04-21T14:38:08","slug":"la-campana-de-ngate-se-dirige-a-brasil-y-troyaniza-handypay-para-robar-datos-y-pin-de-nfc-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/21\/la-campana-de-ngate-se-dirige-a-brasil-y-troyaniza-handypay-para-robar-datos-y-pin-de-nfc-cyberdefensa-mx\/","title":{"rendered":"La campa\u00f1a de NGate se dirige a Brasil y troyaniza HandyPay para robar datos y PIN de NFC \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Investigadores de ciberseguridad han descubierto una nueva versi\u00f3n de una familia de malware para Android llamada NGate <\/strong>que se ha descubierto que abusa de una aplicaci\u00f3n leg\u00edtima llamada HandyPay<\/a> en lugar de NFCGate.<\/p>\n

\u00abLos atacantes tomaron la aplicaci\u00f3n, que se utiliza para transmitir datos NFC, y la parchearon con un c\u00f3digo malicioso que parece haber sido generado por IA\u00bb, dijo el investigador de seguridad de ESET Luk\u00e1\u0161 \u0160tefanko. dicho<\/a> en un informe compartido con The Hacker News. \u00abAl igual que con versiones anteriores de NGate, el c\u00f3digo malicioso permite a los atacantes transferir datos NFC desde la tarjeta de pago de la v\u00edctima a su propio dispositivo y utilizarlos para retiros en cajeros autom\u00e1ticos sin contacto y pagos no autorizados\u00bb.<\/p>\n

Adem\u00e1s, la carga maliciosa es capaz de capturar el PIN de la tarjeta de pago de la v\u00edctima y exfiltrarlo al servidor de comando y control (C2) del actor de la amenaza.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

NGate, tambi\u00e9n conocido como NFSkate, fue documentado p\u00fablicamente por primera vez por el proveedor de ciberseguridad eslovaco en agosto de 2024, detallando su capacidad para llevar a cabo ataques de retransmisi\u00f3n para desviar los datos de pago sin contacto de las v\u00edctimas con el objetivo de realizar transacciones fraudulentas.<\/p>\n

Un a\u00f1o despu\u00e9s, la empresa holandesa de seguridad m\u00f3vil ThreatFabric detall\u00f3 una amenaza con el nombre en c\u00f3digo RatOn que utilizaba aplicaciones dropper que se hac\u00edan pasar por versiones de TikTok para adultos para implementar NGate y llevar a cabo ataques de retransmisi\u00f3n NFC.<\/p>\n

La \u00faltima versi\u00f3n de NGate detectada por ESET se ha dirigido principalmente a usuarios de Brasil, lo que marca la primera campa\u00f1a de este tipo que destaca a la naci\u00f3n sudamericana. La aplicaci\u00f3n troyanizada HandyPay se distribuye a trav\u00e9s de sitios web que se hacen pasar por Rio de Pr\u00eamios, una loter\u00eda administrada por la organizaci\u00f3n de loter\u00eda del estado de R\u00edo de Janeiro, y una p\u00e1gina de listado de Google Play Store para una supuesta aplicaci\u00f3n de protecci\u00f3n de tarjetas.<\/p>\n

\"\"<\/a><\/div>\n

El sitio web falso de loter\u00eda busca convencer al usuario de que toque un bot\u00f3n para enviar un mensaje de WhatsApp y reclamar el dinero del premio, momento en el que se le indica que probablemente descargue la versi\u00f3n envenenada de la aplicaci\u00f3n HandyPay. Independientemente del m\u00e9todo utilizado, la aplicaci\u00f3n solicita ser configurada como la aplicaci\u00f3n de pago predeterminada despu\u00e9s de la instalaci\u00f3n.<\/p>\n

Luego, se le pide a la v\u00edctima que ingrese el PIN de la tarjeta de pago en la aplicaci\u00f3n y toque su tarjeta en la parte posterior del tel\u00e9fono inteligente con NFC. Tan pronto como se lleva a cabo este paso, el malware abusa de HandyPay para capturar y transmitir los datos de la tarjeta NFC a un dispositivo controlado por el atacante, permiti\u00e9ndole as\u00ed utilizar la informaci\u00f3n robada para realizar retiros de efectivo en cajeros autom\u00e1ticos.<\/p>\n

Se estima que la campa\u00f1a activa comenz\u00f3 alrededor de noviembre de 2025. La versi\u00f3n maliciosa de HandyPay nunca estuvo disponible en Google Play Store, lo que significa que los atacantes est\u00e1n utilizando los m\u00e9todos antes mencionados como mecanismos de entrega para enga\u00f1ar a usuarios desprevenidos para que los descarguen. Desde entonces, HandyPay ha iniciado una investigaci\u00f3n interna sobre el asunto.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

ESET se\u00f1al\u00f3 que los precios de suscripci\u00f3n m\u00e1s baratos para HandyPay pueden haber provocado que los operadores de la campa\u00f1a cambiaran en lugar de quedarse con las soluciones llave en mano existentes que cuestan m\u00e1s de 400 d\u00f3lares al mes. \u00abAdem\u00e1s del precio, HandyPay de forma nativa no requiere ning\u00fan permiso, solo debe convertirse en la aplicaci\u00f3n de pago predeterminada, lo que ayuda a los actores de amenazas a evitar levantar sospechas\u00bb, se\u00f1al\u00f3 la compa\u00f1\u00eda.<\/p>\n

Un an\u00e1lisis del artefacto ha revelado la presencia de emojis en mensajes de depuraci\u00f3n y brindis, destacando el posible uso de un modelo de lenguaje grande (LLM) para generar o modificar el c\u00f3digo fuente. Si bien sigue siendo dif\u00edcil encontrar pruebas concluyentes, el desarrollo se alinea con una tendencia m\u00e1s amplia de los ciberdelincuentes a recurrir a la inteligencia artificial (IA) generativa para producir malware incluso con poca o ninguna experiencia t\u00e9cnica.<\/p>\n

\u00abCon la aparici\u00f3n de otra campa\u00f1a NGate en escena, se puede ver claramente que el fraude NFC est\u00e1 aumentando\u00bb, dijo ESET. \u00abEsta vez, en lugar de utilizar una soluci\u00f3n establecida como NFCGate o un MaaS, los atacantes decidieron troyanizar HandyPay, una aplicaci\u00f3n con funcionalidad de retransmisi\u00f3n NFC existente\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Investigadores de ciberseguridad han descubierto una nueva versi\u00f3n de una familia de malware para Android llamada NGate que se ha descubierto que abusa de una aplicaci\u00f3n leg\u00edtima llamada HandyPay en lugar de NFCGate. \u00abLos atacantes tomaron la aplicaci\u00f3n, que se utiliza para transmitir datos NFC, y la parchearon con un c\u00f3digo malicioso que parece haber […]<\/p>\n","protected":false},"author":1,"featured_media":576,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[199,133,24,627,833,1964,1966,1962,36,1965,703,1963],"class_list":["post-617","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-brasil","tag-campana","tag-cyberdefensa-mx","tag-datos","tag-dirige","tag-handypay","tag-nfc","tag-ngate","tag-para","tag-pin","tag-robar","tag-troyaniza"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/617","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=617"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/617\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/576"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=617"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=617"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=617"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}