Cada vez que pagas con tu tarjeta sin siquiera sacarla de la billetera, estás utilizando la tecnología NFC: rápida, conveniente y tan cotidiana que solemos olvidar los riesgos que puede implicar. Justamente, esa comodidad ha sido aprovechada por ciberdelincuentes a través de una nueva amenaza: SuperCard X, una plataforma de malware como servicio (MaaS) diseñada para dispositivos Android, que permite realizar fraudes financieros utilizando tarjetas comprometidas mediante ataques de retransmisión NFC.
Detectada por la firma de seguridad móvil Cleafy tras una serie de ataques en Italia, SuperCard X no es una simple aplicación maliciosa: es una herramienta sofisticada vinculada a actores de amenazas de habla china, con evidentes similitudes técnicas con el proyecto de código abierto NFCGate y su derivado malicioso, NGate, que ha sido usado en ataques en Europa desde el año pasado. Lo preocupante es que esta plataforma se distribuye abiertamente en canales de Telegram, donde además se ofrece soporte directo a sus “clientes” y se permite solicitar versiones personalizadas del malware según las necesidades del afiliado.
Todo empieza con un mensaje sospechoso. La víctima recibe un SMS o un WhatsApp que parece venir de su banco. En el texto, le dicen que hubo una transacción rara y que necesita llamar urgentemente a un número para resolver el problema.
Cuando la persona llama, quien atiende no es del banco, sino un estafador que se hace pasar por alguien del servicio al cliente. A través de técnicas de ingeniería social (es decir, manipulando a la persona con discursos bien armados) logra que la víctima le dé información clave como el número de su tarjeta y su PIN. En algunos casos, incluso la convencen de que desactive los límites de gasto desde su propia app bancaria, con el pretexto de "resolver el problema más rápido".
Luego viene el paso más delicado: los atacantes le piden a la víctima que instale una app llamada Reader, que supuestamente es una herramienta de seguridad para verificar las tarjetas. En realidad, esa app contiene el malware SuperCard X.
Una vez instalada, la aplicación no pide muchos permisos, solo acceso al chip NFC del teléfono. Eso basta para hacer su trabajo sucio.
Después, el estafador le pide a la víctima que acerque su tarjeta física al teléfono, como si fuera parte del proceso de verificación. Pero en realidad, lo que hace es capturar los datos del chip de la tarjeta y enviarlos directamente a los delincuentes.
Con esa información, los atacantes usan otro teléfono Android con una app llamada Tapper, que toma esos datos y los convierte en una copia digital de la tarjeta original. Así, pueden hacer pagos en tiendas o incluso sacar dinero de cajeros, como si fueran el verdadero dueño de la tarjeta.
Las dos aplicaciones y los dos dispositivos implicados en el ataque (Fuente: Cleafy)
Estas tarjetas “falsas” que crean los atacantes funcionan como si fueran reales: les permiten hacer pagos sin contacto en tiendas o incluso sacar dinero en cajeros. Eso sí, hay un límite en cuánto pueden gastar por transacción. Pero como son montos pequeños y todo ocurre al instante, muchas veces los bancos no detectan nada raro. Para cuando alguien se da cuenta, ya es tarde, y recuperar ese dinero no siempre es fácil.
Conoce más sobre: El Peligroso Mundo del Smishing: Conoce sobre esta Amenaza
Una de las cosas que más llama la atención de SuperCard X es lo bien que se esconde. Actualmente, no aparece detectado por ningún antivirus en servicios de escaneo como VirusTotal. Además, no pide permisos sospechosos ni usa técnicas típicas de malware más agresivo, como superponer pantallas falsas, lo que le permite mantenerse bajo el radar de muchos sistemas de seguridad.
En cuanto a su funcionamiento, no es para nada improvisado. Para emular una tarjeta de forma creíble, SuperCard X usa una técnica llamada ATR (Answer to Reset), que básicamente le dice al lector de tarjetas que está tratando con una tarjeta auténtica. Esto no solo le permite engañar a las terminales de pago, sino que demuestra que los creadores del malware tienen un conocimiento bastante profundo sobre cómo funcionan los chips de tarjetas inteligentes.
Otro detalle técnico interesante (y preocupante) es que usan TLS mutuo (mTLS) para cifrar la comunicación entre el teléfono infectado y los servidores que controlan el malware. Este sistema, que requiere certificados tanto del cliente como del servidor, hace que sea muy difícil interceptar o analizar esas comunicaciones, incluso para investigadores o autoridades.
Por el lado de Google, al menos por ahora, no se ha encontrado ninguna app con este malware en la Play Store. Además, los dispositivos Android que tienen activado Google Play Protect (lo cual es por defecto en la mayoría) ya cuentan con protección frente a apps maliciosas, incluso si vienen de fuera de la tienda oficial. Aun así, el riesgo sigue estando presente, sobre todo cuando los atacantes distribuyen el malware por otros canales como enlaces directos o grupos de mensajería.
Sistema de comunicaciones seguro (Fuente: Cleafy)