Tarjeta en el bolsillo, dinero en manos de hackers: cómo PhantomCard explota la tecnología NFC para robar dinero

Una nueva campaña maliciosa en Android dirigida a clientes bancarios en Brasil, India y países del sudeste asiático combina fraudes sin contacto a través de NFC, interceptación de llamadas y explotación de vulnerabilidades de dispositivos.

Los investigadores de ThreatFabric informaron sobre el troyano PhantomCard, que utiliza la tecnología de comunicación sin contacto para llevar a cabo ataques de retransmisión. Los atacantes obtienen los datos de la tarjeta de la víctima y los transmiten a través de un servidor controlado a un dispositivo de un cómplice que se encuentra cerca de un terminal de pago o un cajero automático. De esta manera, se crea un canal que permite realizar operaciones como si la tarjeta estuviera físicamente en posesión del delincuente.

PhantomCard se distribuye a través de páginas falsas de Google Play, disfrazadas como la aplicación “Proteção Cartões” con reseñas positivas ficticias. Tras la instalación, el programa solicita al usuario que acerque su tarjeta bancaria al teléfono “para verificación” e introduzca el PIN, que luego se envía al atacante. Una aplicación equivalente en el dispositivo del cómplice garantiza la sincronización con el terminal de pago.

Según ThreatFabric, el desarrollo proviene del vendedor brasileño de herramientas maliciosas Go1ano, que utiliza la plataforma china NFU Pay, la cual ofrece servicios similares como parte de un modelo de “malware por suscripción”. Entre las soluciones comparables se mencionan SuperCard X, KingNFC y X/Z/TX-NFC. Los expertos advierten que estos servicios amplían el alcance de los ataques, eliminando las barreras del idioma y la infraestructura.

En los informes de Resecurity de julio se señala que los países del sudeste asiático, en particular Filipinas, se han convertido en un campo de pruebas para fraudes sin contacto. El crecimiento de la popularidad de los pagos NFC, especialmente para pequeñas cantidades que no requieren la introducción de PIN, facilita la realización de transacciones no autorizadas y dificulta su rastreo.

Al mismo tiempo, la empresa K7 Security detectó en India una campaña con el malware para Android SpyBanker, distribuido a través de WhatsApp bajo la apariencia de una aplicación de soporte al cliente bancario. Este modifica el número de desvío de llamadas a uno predefinido para interceptar las llamadas entrantes y recopila datos de la tarjeta SIM, información bancaria, SMS y notificaciones.

Otro vector de ataque en India está relacionado con aplicaciones de crédito falsas bajo marcas de grandes bancos, descargadas desde páginas de phishing. Según McAfee, estos archivos APK funcionan como “droppers”, descargando un módulo malicioso tras la instalación. Al usuario se le muestra una interfaz que imita la legítima, con formularios para ingresar nombre completo, número de tarjeta, CVV, fecha de expiración y teléfono.

Una función incorporada permite ejecutar el minero de criptomonedas XMRig al recibir determinados mensajes a través de Firebase Cloud Messaging. Para camuflarse, las páginas cargan imágenes y scripts de los sitios web reales de los bancos, añadiendo botones de descarga que conducen a archivos infectados.

La variedad de esquemas empleados demuestra que los dispositivos móviles se están convirtiendo cada vez más en el núcleo de los ataques financieros, y que la confianza en los canales de comunicación y pago habituales se convierte en el eslabón más vulnerable en la protección del usuario.