Tu teléfono acaba de pagar un café — pero no para ti, y tu antivirus ni se dio cuenta.

Los ciberdelincuentes en Brasil comenzaron a utilizar un nuevo esquema para robar dinero con tarjetas sin contacto: la aplicación móvil RelayNFC convierte el teléfono inteligente de la víctima en un lector remoto que simula la presencia de la tarjeta junto al terminal de pago. La campaña fue identificada por los analistas de Cyble y, según sus datos, ya lleva al menos un mes prácticamente imperceptible para los sistemas de defensa.

La aplicación maliciosa se distribuye a través de sitios de phishing en portugués, donde se promete una «protección» reforzada de las tarjetas de pago. A las posibles víctimas se les pide instalar una supuesta aplicación segura desde los dominios maisseguraca[.]site, proseguro[.]site, test[.]ikotech[.]online, maisseguro[.]site y maisprotecao[.]site. Tras la instalación, la aplicación abre inmediatamente una pantalla falsa y solicita acercar la tarjeta al teléfono, y a continuación muestra otro formulario para introducir un PIN de cuatro o seis dígitos.

RelayNFC está construido sobre el framework React Native y utiliza un módulo compacto de la carga útil compilado con Hermes, así como el motor JavaScript integrado. Según los especialistas de Cyble, este enfoque dificulta el análisis y la detección del código malicioso por parte de las defensas y permite procesar de forma imperceptible los datos de tarjetas bancarias en tiempo real. Al momento de la publicación del informe, las muestras prácticamente no eran detectadas por los antivirus, como lo demuestra una detectabilidad nula en VirusTotal.

La característica clave de RelayNFC es un canal completo de retransmisión de comandos APDU a través de una conexión WebSocket persistente entre el servidor del atacante y el subsistema NFC del dispositivo infectado. El controlador NFC procesa las solicitudes de la misma manera que en una transacción habitual, formando respuestas legítimas de la tarjeta. La aplicación intercepta esas respuestas y las envía de vuelta al servidor de control, conservando los identificadores de las solicitudes y de la sesión. Como resultado, los atacantes pueden completar el proceso de pago en su terminal como si la tarjeta estuviera físicamente presente.

El equipo de Cyble también encontró una variación relacionada de esta campaña maliciosa que intenta utilizar la tecnología de emulación de tarjetas (Host Card Emulation), lo que indica la búsqueda de nuevas formas de eludir las limitaciones de NFC y la posterior evolución del esquema. En el contexto de RelayNFC también se mencionan otras soluciones maliciosas que aprovechan las capacidades de la tecnología NFC para interceptar datos de pago, como Ngate, SuperCardX y PhantomCard, lo que subraya el creciente interés de los delincuentes en este canal de ataque.

El informe enfatiza la necesidad de un control estricto sobre la instalación de aplicaciones relacionadas con pagos, el refuerzo de los mecanismos de protección a nivel de los dispositivos y un seguimiento más atento por parte de las instituciones financieras, para detectar de forma rápida las operaciones sospechosas relacionadas con las transacciones sin contacto.