Investigadores de Zimperium alertan de un marcado aumento de malware NFC en Android dirigido a pagos sin contacto en Europa del Este. En los últimos meses se han identificado más de 760 muestras capaces de abusar de mecanismos legítimos de la plataforma para robar datos de pago y ejecutar transacciones no autorizadas. La curva de actividad no cede y se acelera, consolidando los pagos móviles como un vector de riesgo prioritario.
Qué es el malware NFC en Android y por qué la HCE amplía la superficie de ataque
A diferencia de los troyanos bancarios tradicionales basados en superposiciones de phishing o captura de pantalla, estas familias explotan Host Card Emulation (HCE), una función de Android que permite al teléfono emular una tarjeta para interactuar con terminales de punto de venta (POS) como si fuera un plástico físico. Para el usuario el flujo es familiar, pero el software malicioso puede situarse en el camino de los mensajes de la transacción y manipular partes críticas del protocolo.
Vectores técnicos: EMV, APDU tunneling y manipulación en tiempo real
Los operadores emplean varios enfoques complementarios. Primero, el interceptado y exfiltración de campos EMV —datos estructurados de la transacción— hacia bots de Telegram o servidores de mando y control (C2). Segundo, el APDU tunneling: las órdenes del POS (APDU) se reenvían a un servidor remoto que genera respuestas válidas en tiempo real para autorizar pagos, permitiendo operar sin tarjeta física y sin conocimiento del titular del dispositivo. En algunos casos se observa una técnica similar a Ghost Tap, con modificación dinámica de las respuestas HCE para completar la compra sin levantar sospechas.
Alcance, infraestructura y cronología de las campañas
Según Zimperium, la infraestructura criminal suma más de 70 servidores de control y distribución, además de decenas de canales y bots privados en Telegram para coordinar operaciones y monetizar datos robados. Los primeros incidentes datan del otoño de 2023 con víctimas de la banca checa. En Rusia, los ataques con variantes de NFCGate se documentan desde agosto de 2024.
Datos de F6 indican que, solo en el primer trimestre de 2025, las versiones maliciosas de NFCGate causaron pérdidas por 432 millones de rublos. Entre enero y marzo se registraron unas 40 intrusiones exitosas al día, con un impacto medio de 120 000 rublos por incidente, cifras que evidencian la madurez del modelo de monetización.
Suplantación de Google Pay y bancos para capturar el “tap-to-pay” por defecto
Los actores disfrazan sus APK como PWA o clientes bancarios falsos y los registran como aplicación predeterminada de pagos sin contacto en Android. Se imitan marcas como Google Pay y entidades como Santander Bank, VTB, Tinkoff, Banco de Rusia, ING Bank, Bradesco y Promsvyazbank. El diseño convincente de las interfaces complica el reconocimiento del engaño por parte de usuarios no expertos.
Distribución y exfiltración: del phishing a los C2
La propagación se apoya en sitios de phishing, catálogos de APK de terceros, campañas en mensajería y comunidades cerradas de Telegram. La exfiltración recurre a los mismos canales: entrega de datos a bots y C2, y posterior agregación para su uso en transacciones fraudulentas.
Análisis experto: factores de riesgo y tendencias
La combinación de HCE (funcionalidad legítima documentada por Android) y la estandarización EMV (EMVCo) facilita ataques que no dependen de ingeniería social en pantalla, sino del control del flujo APDU. La disponibilidad de herramientas públicas como NFCGate, la coordinación en Telegram y la alta adopción de pagos sin contacto reducen barreras de entrada. La baja latencia en el tunneling y la capacidad de simular AIDs compatibles hacen que la detección sea compleja si no hay controles de integridad en el dispositivo y supervisión del tráfico HCE a nivel corporativo.
Recomendaciones para reforzar la seguridad en pagos móviles
Para usuarios de Android: instale apps solo desde Google Play; desconfíe de APK de terceros y “clones” de banca. Revise qué app está asignada como Tap-to-Pay por defecto y revoque elecciones sospechosas. Desactive NFC cuando no lo use y limite permisos de apps financieras. Active Google Play Protect y mantenga el sistema y parches al día. Habilite alertas y límites de transacción; bloquee la tarjeta ante cualquier anomalía. Sea cauto con PWA y “actualizaciones” recibidas por enlaces en mensajería.
Para organizaciones: aplique MDM/EMM con listas de aplicaciones confiables, controle el uso de HCE, supervise anomalías de tráfico APDU/EMV en servicios HCE, y eduque a empleados sobre verificación del handler por defecto de pagos. Complementar con análisis de integridad del dispositivo y políticas de mínimo privilegio reduce la exposición.
El auge del malware NFC en Android confirma que los pagos sin contacto son una superficie de ataque en expansión. Adoptar higiene de instalación, revisar el tap-to-pay por defecto y mantener el ecosistema actualizado son pasos sencillos que elevan significativamente la resiliencia. Manténgase informado por proveedores de ciberseguridad, audite sus apps de pago y refuerce la monitorización: la prevención oportuna es la diferencia entre un intento frustrado y una pérdida millonaria.
