Aumento global de malware NFC Relay
La división de investigación de Zimperium, zLabs, ha revelado una preocupante escalada en el uso de malwares NFC Relay. Este tipo de amenaza se aprovecha de la tecnología Host Card Emulation (HCE) que ofrece Android. Su objetivo principal es robar datos de pago y realizar transacciones fraudulentas mediante sistemas de pago sin contacto.
Campañas masivas detectadas
Desde su primera aparición en abril de 2024, se han identificado más de 760 aplicaciones maliciosas. Además, los atacantes han utilizado más de 70 servidores de comando y control, junto con numerosos bots y canales de Telegram. Estas herramientas permiten suplantar instituciones financieras y gubernamentales en países como Rusia, Polonia y Brasil.
Modos de operación de los atacantes
Los análisis de zLabs han expuesto varias estrategias de los delincuentes. Por un lado, algunas aplicaciones funcionan como herramientas para escanear o conectar a terminales de pago (POS). Por otro lado, otras aplicaciones recopilan información EMV, así como identificadores de dispositivos. Todo esto se envía a los hackers a través de Telegram, lo que facilita el fraude.
Usualmente, los cibercriminales convencen a los usuarios para que configuren estas aplicaciones dañinas como su método de pago NFC predeterminado. Mientras tanto, servicios en segundo plano interceptan los eventos NFC, permitiendo que se realicen pagos fraudulentos.
Principales hallazgos de la investigación
- Se han detectado más de 760 aplicaciones maliciosas desde abril de 2024.
- Más de 70 servidores de comando y control han sido localizados.
- Se han identificado decenas de bots y canales de Telegram usados para extraer y coordinar datos.
- Alrededor de 20 entidades, incluidas grandes instituciones financieras, han sido suplantadas.
- Los malwares reutilizan código fuente, disfrazándose bajo diferentes nombres para engañar a los usuarios.
Los atacantes utilizan la tecnología HCE para emular aplicaciones de pago legítimas. Esto les permite desviar solicitudes de terminales de pago hacia servidores remotos. Allí, reciben respuestas APDU diseñadas específicamente para el fraude. Las interacciones incluyen comandos como login/register y telegram_notification, facilitando el robo en tiempo real.
“Los atacantes convierten el ‘tap-to-pay’ en una plataforma de fraude global. Este fenómeno va más allá de incidentes aislados. Se trata de una serie de ataques organizados que perturban el ecosistema de pagos en dispositivos móviles. La detección y protección en tiempo real son cruciales. Debemos detener estas amenazas donde realmente operan: en los dispositivos móviles”, afirmó Nico Chiaraviglio, Chief Scientist de Zimperium.
Para más información sobre esta amenaza emergente, visita el siguiente enlace.
Como joven medio de comunicación independiente, Seguridad y Firewall necesita tu ayuda. Apóyanos siguiéndonos y marcándonos como favoritos en Google News. Gracias por tu apoyo.
