Campaña activa del malware NGate clona datos a través de NFC en usuarios Android

El equipo de investigación de ESET ha identificado una nueva campaña en curso que distribuye NGate, un malware para Android especializado en fraudes de pago. La amenaza, centrada en usuarios brasileños, se está propagando a través de sitios web falsos que se hacen pasar por Google Play Store y reproducen la identidad visual de cuatro grandes bancos nacionales y una app de comercio electrónico.

Según nuestro equipo de investigación, la aplicación maliciosa mantiene el mismo nombre de paquete(com.billy.cardemv) que otras variantes conocidas de NGate y PhantomCard, ambas utilizadas en ataques anteriores en Brasil. Esto indica que se trata de una nueva versión todavía dirigida al público brasileño. La amenaza, identificada inicialmente en 2024 por el equipo de investigación de ESET en Europa, ahora también ha sido detectada en América Latina, con registros específicos en Brasil.

NGate funciona interceptando los datos de las tarjetas NFC (Near Field Communication) y transmitiendo esta información a un dispositivo controlado por los delincuentes. A partir de ahí, el atacante es capaz de realizar reintegros en cajeros automáticos o pagos en terminales de punto de venta (TPV), todo ello sin necesidad de acceder físicamente a la tarjeta de la víctima.

Indicadores de compromiso(IoC):

Entre los indicadores de compromiso (IoCs) divulgados se encuentran dominios falsos que simulan aplicaciones de instituciones como Santander, Banco do Brasil, Itaú, Bradesco y Mercado Livre, alojados en servicios como pages.dev y replit.dev.

Leer más: Explicamos más detalles técnicos sobre el funcionamiento de este tipo de malware en nuestro post anterior sobre el creciente riesgo de ataques NFC en el sistema Android y la importancia de descargar apps sólo a través de tiendas oficiales.