Cyble Research and Intelligence Labs (CRIL) ha identificado una activa y en evolución campaña de phishing dirigida a usuarios en Brasil. Conocida como
RelayNFC, esta amenaza de malware para Android está diseñada específicamente para llevar a cabo ataques de retransmisión NFC, facilitando así pagos sin contacto fraudulentos.
La campaña se centra en usuarios brasileños y utiliza una convincente página en portugués que incita a las víctimas a instalar una aplicación bajo el pretexto de proteger sus tarjetas de pago. Esta aplicación maliciosa tiene como finalidad capturar los datos de la tarjeta de la víctima y enviarlos a los atacantes para realizar transacciones ilegítimas.
RelayNFC es un malware ligero pero altamente evasivo, gracias a su carga útil desarrollada en
Hermes. Esto dificulta considerablemente su detección, permitiéndole capturar de manera sigilosa los datos de las tarjetas de las víctimas y retransmitirlos en tiempo real a un servidor controlado por los atacantes.
- RelayNFC implementa un canal de retransmisión APDU (Application Protocol Data Unit) en tiempo real, permitiendo a los atacantes completar transacciones como si la tarjeta de la víctima estuviera físicamente presente.
- Su distribución depende completamente de técnicas de phishing, engañando a los usuarios para que descarguen el malware RelayNFC. El malware está construido con React Native y bytecode Hermes, dificultando el análisis estático y ayudando a eludir la detección.
- Una variante relacionada intenta implementar la Host Card Emulation (HCE), lo que indica que los atacantes están explorando métodos alternativos de retransmisión NFC.
- Las detecciones en VirusTotal son nulas, lo que evidencía una escasa visibilidad en el ecosistema de seguridad. El código sugiere un alto potencial de desarrollo continuo, destacando su reciente aparición y el riesgo de un uso indebido generalizado.
- RelayNFC parece ser una variante recién desarrollada que utiliza el framework React Native para facilitar fraudes en retransmisiones NFC.
Aunque los pagos sin contacto eran considerados tradicionalmente seguros, esta percepción ha cambiado, ya que los atacantes los están explotando activamente. Se han identificado cinco sitios con interfaces de usuario similares, todos distribuyendo la misma aplicación maliciosa, lo que sugiere una operación coordinada y continua dirigida a los usuarios brasileños.
RelayNFC actúa como «lector», permitiendo al malware capturar los datos de la tarjeta de la víctima y enviarlos al servidor del atacante. Una vez instalada, la aplicación presenta de inmediato una pantalla de phishing que invita al usuario a acercar su tarjeta de pago. Tras la lectura de los datos, RelayNFC muestra otra pantalla que solicita a la víctima ingresar su PIN de 4 o 6 dígitos.
Variantes de malware como Ngate, SuperCardX y PhantomCard destacan esta creciente tendencia. Estas amenazas abusan de las capacidades de Comunicación de Campo Cercano (NFC) para interceptar o retransmitir datos de pagos sin contacto, a menudo entregados a través de sitios de phishing o impostores camuflados como servicios confiables.
El diseño de RelayNFC se basa en un canal de retransmisión en tiempo real, que conecta el smartphone de la víctima con el servidor de comandos del atacante. Este canal utiliza una conexión WebSocket persistente para reenviar comandos APDU (unidad de comunicación entre un lector y una tarjeta) entre el atacante y el subsistema NFC de la víctima, transformando así el dispositivo infectado en un lector NFC remoto.
Una vez establecida la conexión WebSocket, RelayNFC escucha mensajes entrantes del servidor. Soporta dos tipos principales de mensajes: un intercambio ping-pong para mantener la sesión y comandos APDU que regulan el proceso de lectura y retransmisión de las tarjetas.
Fuente:
Cyble
Con Información de blog.segu-info.com.ar