Investigadores de seguridad han detectado una nueva campaña del malware Android NGate. Esta vez, los atacantes han modificado la aplicación legítima HandyPay, diseñada para transmitir datos NFC, para incluir código malicioso. El troyano resultante roba información sensible de pagos contactless, como datos de tarjetas y PINs. La campaña se enfoca en usuarios de Brasil y evidencia el uso de apps confiables para evadir detecciones.
Modificación de APK y posible uso de IA en el código malicioso 🤖
Los ciberdelincuentes tomaron el APK original de HandyPay e inyectaron el módulo malicioso de NGate. El código añadido presenta características que sugieren haber sido generado o asistido por inteligencia artificial, lo que puede complicar su análisis estático. Una vez instalada, la app troyanizada solicita permisos de accesibilidad para capturar datos NFC y los PINs ingresados por el usuario, enviándolos a un servidor controlado por los atacantes.
Tu teléfono quiere ser tu cartero, pero solo para los ciberdelincuentes 📮
Es conmovedor ver cómo algunas aplicaciones se esfuerzan tanto por ser útiles. HandyPay, en su nueva versión mejorada, no se limita a transmitir tus datos de pago. Los envía directamente a personas interesadas en otras partes del mundo, sin que tengas que hacer nada. Es un servicio de reenvío postal internacional gratuito, pero para tu información bancaria. Un recordatorio de que la tienda oficial de apps es ese sitio aburrido que deberías usar.