Investigadores de Cleafy han identificado una sofisticada amenaza para la seguridad móvil denominada SuperCard X, una plataforma MaaS (Malware-as-a-Service) diseñada específicamente para ejecutar ataques de retransmisión NFC en dispositivos Android. Esta nueva amenaza permite a los ciberdelincuentes realizar transacciones fraudulentas en puntos de venta y cajeros automáticos mediante la interceptación de datos de tarjetas bancarias.
Origen y Características Técnicas de SuperCard X
La plataforma, presuntamente desarrollada por grupos de hackers chinos, se basa en el proyecto de código abierto NFCGate y su variante maliciosa NGate. El proyecto original NFCGate fue creado en 2015 por estudiantes de la Universidad Técnica de Darmstadt para la depuración de protocolos NFC, pero los atacantes han modificado su funcionalidad para propósitos fraudulentos.
Metodología del Ataque y Aspectos Técnicos
SuperCard X implementa características avanzadas de evasión, incluyendo autenticación mTLS para proteger su infraestructura de comando y control, junto con emulación de tarjetas basada en tecnología ATR. La plataforma actualmente elude la detección por soluciones antivirus en VirusTotal, lo que aumenta significativamente su peligrosidad.
Vector de Infección y Alcance del Impacto
Los atacantes inician su campaña mediante mensajes de phishing por SMS o WhatsApp, suplantando la identidad de entidades bancarias. A través de ingeniería social, convencen a las víctimas de instalar una aplicación maliciosa llamada «Reader», que compromete el módulo NFC del dispositivo para capturar datos de tarjetas bancarias.
Estadísticas y Distribución Geográfica
Los datos de F6 revelan que más de 22,000 dispositivos Android han sido comprometidos solo en Rusia, con pérdidas estimadas en 200 millones de rublos durante los primeros dos meses de 2025. La amenaza se ha expandido internacionalmente, con casos confirmados en Italia y evidencia de adaptaciones regionales del malware.
Para protegerse contra esta amenaza, los expertos recomiendan evitar la instalación de aplicaciones desde fuentes no oficiales y mantener activo Google Play Protect. Es fundamental desconfiar de cualquier comunicación que solicite la instalación urgente de aplicaciones, incluso si aparentemente proviene de una entidad bancaria legítima. Google ha confirmado que ninguna aplicación relacionada con SuperCard X está presente en la Play Store, reforzando la importancia de utilizar exclusivamente fuentes oficiales para la instalación de software.
