El equipo de investigaciones de ESET, una compañía líder en detección proactiva de amenazas, ha descubierto una nueva y preocupante variante de malware que afecta a una aplicación legítima de Android llamada HandyPay. Esta aplicación se utiliza para retransmitir datos NFC (Near Field Communication), la tecnología que permite pagos sin contacto. Los atacantes habrían modificado la aplicación con código malicioso generado con inteligencia artificial (IA), lo que representa una sofisticada amenaza para la seguridad financiera de los usuarios.
La amenaza, que afecta principalmente a Brasil y podría extenderse a otros países de América Latina, permite a los criminales transferir los datos NFC de la tarjeta de pago de la víctima directamente a su propio dispositivo. Con esta información, pueden realizar extracciones de efectivo en cajeros automáticos sin contacto y efectuar pagos no autorizados, comprometiendo gravemente las finanzas personales de los afectados.
Pero la amenaza no se limita a la clonación de la tarjeta para realizar pagos. El código malicioso también tiene la capacidad de capturar el PIN (Número de Identificación Personal) de la tarjeta de pago de la víctima y enviarlo a los servidores controlados por los operadores del malware. Esta información adicional permite a los atacantes realizar transacciones aún más complejas y fraudulentas, aumentando significativamente el riesgo para los usuarios.
Un aspecto particularmente alarmante de este ataque es la presunta utilización de GenAI (Generative Artificial Intelligence) para interferir en el funcionamiento de HandyPay. Los investigadores de ESET encontraron un emoji en los registros del sistema (logs) que es característico del texto generado por herramientas de inteligencia artificial, lo que sugiere que los atacantes emplearon esta tecnología para desarrollar y desplegar el malware. El uso de IA en ciberataques representa una nueva tendencia que dificulta la detección y el análisis de las amenazas, ya que el código malicioso puede ser más complejo y adaptable.
La campaña de distribución de la versión troyanizada de HandyPay comenzó a circular alrededor de noviembre de 2025 y, según ESET, continúa activa en la actualidad. Esto significa que un número considerable de usuarios podría estar en riesgo de ser víctimas de este fraude. Es importante destacar que la versión de HandyPay que ha sido parcheada maliciosamente no está disponible en la tienda oficial de Google Play. Esto implica que los usuarios que descargaron la aplicación desde fuentes no oficiales o a través de enlaces sospechosos son los más vulnerables.
Afortunadamente, los usuarios de Android cuentan con una capa de protección gracias a la extensión Google Play Protect, que está integrada en el sistema operativo. Play Protect escanea automáticamente las aplicaciones instaladas en el dispositivo en busca de malware conocido y puede bloquear o desinstalar aquellas que representan una amenaza. Sin embargo, es importante tener en cuenta que Play Protect no es infalible y puede no detectar variantes de malware nuevas o desconocidas.
Ante esta nueva amenaza, ESET recomienda a los usuarios de Android tomar una serie de precauciones para proteger sus datos financieros y evitar ser víctimas de este fraude. En primer lugar, es fundamental descargar aplicaciones únicamente desde la tienda oficial de Google Play. Aunque no es una garantía absoluta de seguridad, la tienda de Google cuenta con mecanismos de revisión y control que reducen el riesgo de descargar aplicaciones maliciosas.
En segundo lugar, se aconseja evitar descargar aplicaciones desde fuentes no oficiales, enlaces sospechosos o sitios web desconocidos. Estas fuentes suelen ser utilizadas por los atacantes para distribuir malware. En tercer lugar, es importante mantener el sistema operativo Android y las aplicaciones instaladas actualizadas. Las actualizaciones suelen incluir parches de seguridad que corrigen vulnerabilidades que podrían ser explotadas por los atacantes.
Además, se recomienda a los usuarios ser cautelosos al ingresar su PIN de la tarjeta de pago en cualquier aplicación o dispositivo. Es importante asegurarse de que la aplicación sea legítima y de que la conexión sea segura antes de proporcionar información confidencial. También es aconsejable revisar periódicamente los movimientos de la tarjeta de crédito o débito para detectar cualquier transacción sospechosa y reportarla inmediatamente al banco o a la entidad emisora de la tarjeta.
La detección de este nuevo malware que utiliza IA para atacar aplicaciones de pagos NFC subraya la creciente sofisticación de las amenazas cibernéticas y la necesidad de que los usuarios y las empresas adopten medidas de seguridad más robustas. La inteligencia artificial, si bien ofrece numerosas ventajas, también puede ser utilizada por los atacantes para desarrollar malware más efectivo y evadir las defensas tradicionales. Por lo tanto, es crucial estar al tanto de las últimas tendencias en ciberseguridad y tomar las precauciones necesarias para protegerse contra estas amenazas.
ESET continuará investigando esta nueva variante de malware y trabajando en el desarrollo de soluciones para proteger a los usuarios de Android. La compañía también colaborará con las autoridades competentes y con otras empresas de seguridad para combatir el fraude y llevar a los responsables ante la justicia. La lucha contra el cibercrimen es un esfuerzo continuo que requiere la colaboración de todos los actores involucrados.
:format(jpg):quality(99):watermark(f.elconfidencial.com/file/bae/eea/fde/baeeeafde1b3229287b0c008f7602058.png,0,275,1)/f.elconfidencial.com/original/153/549/82e/15354982e59ca9bdbdfaad3e8a09df63.jpg)
