Blog Blog

Fraude Bancario Móvil

August 15, 2025
Nestor Martin Guerra Garcia (Dr.Plaga)
Notas
Fraude Bancario Móvil

La Nueva Frontera del Fraude Bancario Móvil: Un Análisis de los Ataques de Retransmisión NFC, el Secuestro de Llamadas y los Exploits a Nivel de Kernel

I. Introducción: El Panorama Cambiante de las Amenazas en la Banca Móvil

El panorama financiero global está presenciando un cambio de paradigma en las amenazas móviles. La era de los simples ataques de superposición (overlay) y el robo de credenciales está siendo superada por una nueva generación de troyanos sofisticados para Android que participan en fraudes interactivos y en tiempo real. Estas amenazas no son simplemente código malicioso; son componentes de campañas complejas, operadas por humanos, que combinan exploits técnicos avanzados con una magistral ingeniería social.

Este informe proporcionará un análisis exhaustivo de tres vectores de amenaza convergentes y muy preocupantes que definen esta nueva ola:

  • PhantomCard/SuperCard X: Un troyano que instrumentaliza la tecnología de Comunicación de Campo Cercano (NFC) para ejecutar pagos sin contacto fraudulentos a través de ataques de retransmisión en tiempo real, dirigidos principalmente a usuarios en Brasil e Italia.1
  • SpyBanker: Una familia de troyanos bancarios que emplea audaces técnicas de redirección y secuestro de llamadas para interceptar las comunicaciones entre las víctimas y sus bancos, facilitando convincentes ataques de phishing de voz (vishing), con una actividad significativa observada en la India.
  • Exploits a Nivel de Kernel: El abuso de vulnerabilidades en modernos frameworks de rooteo de Android como KernelSU, que otorga a los atacantes el premio final: acceso root persistente y privilegiado, permitiéndoles eludir prácticamente toda la arquitectura de seguridad de Android.3

Estos no son fenómenos aislados. Representan la industrialización y la mercantilización del ciberdelito avanzado, impulsado por un ecosistema global "como servicio", la instrumentalización de la investigación de código abierto y un cambio estratégico hacia el ataque al proceso de transacción en sí mismo, en lugar de solo a las credenciales que lo protegen.

II. La Génesis de una Amenaza Convergente: Una Cronología Narrativa

Para comprender la gravedad de la situación actual, es fundamental trazar la evolución de estas amenazas, demostrando cómo vectores distintos han madurado y convergido con el tiempo para formar las complejas campañas que se observan hoy en día.

La historia comienza mucho antes de los titulares recientes. En principios de 2016, el troyano móvil Triada marcó un hito al demostrar un profundo nivel de integración en el sistema operativo, modificando el proceso Zygote, el padre de todas las aplicaciones de Android. Esta fue una señal temprana de la ambición del malware móvil por obtener un control profundo del dispositivo, un precursor del enfoque actual en el acceso a nivel de kernel.

Un momento crucial ocurrió entre diciembre de 2016 y 2018, cuando se filtró el código fuente de un troyano bancario para Android. Esta filtración dio origen a la familia BankBot/Spy Banker y estableció un patrón que se repetiría: la reutilización y evolución del código malicioso.9 Las campañas iniciales se dirigieron a bancos en Rusia, Turquía y Estados Unidos, demostrando la naturaleza transnacional de estas operaciones desde sus inicios.

Para junio de 2019, el mercado de malware se había profesionalizado significativamente. El troyano bancario Cerberus apareció en foros clandestinos, ofrecido en alquiler bajo un modelo de Malware-as-a-Service (MaaS). Sus autores se jactaban de que estaba escrito desde cero, a diferencia de otros que se basaban en código filtrado como el de Anubis, lo que indicaba un mercado competitivo y en maduración para los troyanos bancarios de Android.

En noviembre de 2020, los investigadores descubrieron el troyano bancario Ghimob, atribuido al actor de amenazas brasileño conocido como "Tétrade". Ghimob fue descrito como un "espía de bolsillo en toda regla", capaz de monitorear 153 aplicaciones móviles y, lo que es más importante, ejecutar fraudes en segundo plano mientras la víctima veía una pantalla en negro.11 Este fue un claro movimiento hacia el secuestro de sesiones en tiempo real, un alejamiento del simple robo de credenciales para su uso posterior.

El escenario para los ataques actuales comenzó a prepararse en noviembre de 2023. Investigadores de ESET detectaron por primera vez a un nuevo actor de amenazas dirigido a clientes de importantes bancos checos. Los ataques iniciales fueron relativamente simples, utilizando Aplicaciones Web Progresivas (PWA) maliciosas y WebAPKs distribuidos a través de enlaces de phishing en mensajes SMS que prometían devoluciones de impuestos.14 Esta campaña sentó las bases operativas para un ataque mucho más sofisticado.

Un desarrollo técnico crítico ocurrió en enero de 2024 con la divulgación de la vulnerabilidad CVE-2023-49794 en KernelSU, un popular framework de rooteo. El fallo, que afectaba a las versiones 0.7.1 y anteriores, permitía que una aplicación maliciosa con un nombre de paquete falsificado eludiera la autenticación y obtuviera privilegios de root completos, creando el vector de ataque perfecto para el malware que busca el control total del dispositivo.

En marzo de 2024, la campaña en la República Checa escaló drásticamente. Los actores de amenazas desplegaron el malware NGate en los mismos dominios de distribución que habían utilizado para su phishing con PWA. NGate incorporó la capacidad de retransmisión NFC, basada en el proyecto académico de código abierto NFCGate, para facilitar retiradas de efectivo no autorizadas en cajeros automáticos. Aunque un sospechoso fue arrestado ese mismo mes, lo que provocó una pausa temporal en la campaña, la técnica ya había sido probada en el campo.

Mientras tanto, desde noviembre de 2023 hasta la actualidad, Microsoft observó campañas continuas en la India donde los atacantes utilizaban WhatsApp y Telegram para distribuir troyanos bancarios como SpyBanker. Los señuelos estaban altamente localizados, como falsas notificaciones de actualización de "Conozca a su Cliente" (KYC), y el malware estaba diseñado para robar credenciales e interceptar mensajes SMS.

La globalización de la amenaza de retransmisión NFC se hizo evidente en abril de 2025, cuando se identificó el malware SuperCard X dirigido a usuarios en Italia. Se reveló que era una plataforma MaaS con fuertes similitudes de código con NGate, confirmando el modelo de negocio y la propagación global de la amenaza.

Finalmente, en agosto de 2025, todas las piezas convergieron. Los investigadores revelaron PhantomCard, otro troyano de retransmisión NFC dirigido a clientes bancarios en Brasil. Se vinculó explícitamente a una oferta de MaaS de habla china llamada "NFU Pay" y vendida por revendedores locales, consolidando la comprensión de la cadena de suministro global para esta amenaza. Simultáneamente, surgieron informes de que las variantes de SpyBanker en la India ahora incluían capacidades de redirección de llamadas.3 Para completar el cuadro, la firma de seguridad Zimperium emitió una advertencia sobre los riesgos de los frameworks de rooteo como KernelSU, destacando que estaban siendo activamente explotados. La nueva frontera del fraude bancario móvil había llegado.

III. PhantomCard y la Instrumentalización de NFC: Una Inmersión Profunda en los Ataques de Retransmisión

La aparición de malware como PhantomCard y SuperCard X representa un salto cualitativo en el fraude financiero móvil. Estos troyanos no se limitan a robar información estática; atacan la integridad del propio proceso de transacción sin contacto, instrumentalizando la tecnología NFC de una manera que elude las defensas tradicionales.

La Base Técnica: Cómo Funcionan los Ataques de Retransmisión NFC

La Comunicación de Campo Cercano (NFC) es la tecnología de radiofrecuencia que permite los pagos sin contacto, o "tap-to-pay". Permite una comunicación segura a corta distancia entre una tarjeta de pago y un terminal (como un Punto de Venta o TPV, o un cajero automático). La seguridad se basa en datos criptográficos intercambiados durante esta breve interacción.

Un ataque de retransmisión (relay attack) explota esta tecnología de una manera fundamentalmente diferente al skimming o la clonación. En lugar de intentar copiar o descifrar los datos de la tarjeta, el ataque actúa como un puente de larga distancia. Simplemente captura y retransmite la comunicación inalámbrica en bruto y cifrada entre la tarjeta de la víctima y un terminal legítimo, sin necesidad de entender o modificar el contenido.

El resultado es devastadoramente efectivo. Desde la perspectiva del sistema del banco, la transacción parece completamente legítima. Recibe una solicitud de pago con datos criptográficos válidos y una firma digital auténtica, como si la tarjeta física estuviera realmente presente en el terminal.19 Esto hace que el fraude sea increíblemente difícil de detectar en el momento, ya que elude las defensas tradicionales que buscan tarjetas clonadas, credenciales robadas o anomalías en la ubicación del titular de la cuenta. La investigación académica ha propuesto contramedidas como los protocolos de delimitación de distancia (que miden el tiempo de ida y vuelta de la señal para detectar retrasos anormales) y la huella digital de RF (que analiza las características únicas de la señal de radio), pero estas soluciones aún no están implementadas a gran escala, dejando una ventana de oportunidad para los atacantes.

Anatomía de un Ataque de PhantomCard/SuperCard X

La ejecución de un ataque de retransmisión NFC es una sinfonía de ingeniería social y explotación técnica, donde el operador humano es tan crucial como el malware.

El Señuelo Inicial (Ingeniería Social): El ataque comienza con un escenario de Entrega de Ataque Orientado por Teléfono (TOAD, por sus siglas en inglés). La víctima recibe un mensaje de texto urgente, a menudo a través de SMS o WhatsApp, que suplanta a su banco. El mensaje suele contener una alerta de seguridad falsa, como una notificación de un pago saliente sospechoso, diseñada para infundir pánico.

El Operador Humano: Se instruye a la víctima para que llame a un número proporcionado o es contactada directamente por un estafador que se hace pasar por un agente del banco. Este operador utiliza un guion cuidadosamente elaborado para generar confianza y guiar a la víctima a través de los siguientes pasos, explotando la urgencia y el miedo establecidos en la fase inicial.

Instalación del Malware: El agente convence a la víctima de que, para proteger su cuenta, debe instalar una aplicación de "seguridad" o de "protección de tarjetas". Se le envía un enlace para descargar la aplicación, que se aloja en páginas web que imitan a Google Play o en otras fuentes no oficiales. En Brasil, el malware se ha distribuido con nombres como "Proteção Cartões", mientras que en el modelo MaaS se le conoce como la aplicación "Reader".

El "Toque" Engañoso: Este es el núcleo del engaño. Se le pide a la víctima que "verifique" su tarjeta de pago acercándola a la parte posterior de su propio teléfono. La interfaz de usuario del malware muestra un mensaje convincente como "Verificando..." o "¡Tarjeta detectada! Mantenga la tarjeta cerca hasta que se complete la autenticación".

La Retransmisión en Tiempo Real: En el momento en que la víctima acerca su tarjeta, la aplicación "Reader" en su teléfono utiliza el lector NFC incorporado para capturar los datos de la transacción. Estos datos se retransmiten instantáneamente a través de un servidor de Comando y Control (C2) a la aplicación "Tapper" instalada en el dispositivo de un cómplice (o "mula"). Este cómplice se encuentra físicamente en un TPV o un cajero automático y simplemente acerca su propio teléfono al lector del terminal. La comunicación se completa, y la transacción fraudulenta se autoriza en tiempo real.

TTPs y Análisis del Malware

El análisis técnico de PhantomCard/SuperCard X revela una operación profesional y diseñada para el sigilo.

  • Modelo de Malware-as-a-Service (MaaS): SuperCard X es explícitamente una plataforma MaaS. Esto significa que los desarrolladores principales venden o alquilan el malware a "afiliados", quienes pueden obtener compilaciones personalizadas para sus campañas específicas.1 Este modelo de negocio criminal permite una rápida proliferación y adaptación de la amenaza a diferentes regiones y objetivos.
  • Linaje de Código: El malware no surgió de la nada. Comparte una cantidad significativa de código con el troyano NGate y es, fundamentalmente, una bifurcación (fork) instrumentalizada del proyecto académico de código abierto NFCGate.1 Esto demuestra cómo los actores de amenazas monitorean activamente la investigación de seguridad pública para encontrar y adaptar rápidamente nuevas técnicas de ataque.
  • Sigilo y Evasión: El diseño del malware prioriza el sigilo. Solicita permisos mínimos, a menudo solo el acceso a NFC, lo que es mucho menos sospechoso que las solicitudes de acceso a SMS o a los Servicios de Accesibilidad que activan las alarmas de muchos usuarios y herramientas de seguridad.1 Evita acciones agresivas como las superposiciones de pantalla, lo que lo hace más difícil de detectar para el software de seguridad. En el momento de su descubrimiento, era indetectable para la mayoría de los escáneres en VirusTotal.
  • Comunicación C2 Segura: Un aspecto técnico notable es el uso de TLS mutuo (mTLS) para la comunicación con la infraestructura de C2.1 Esto significa que tanto el cliente (el malware) como el servidor se autentican entre sí mediante certificados, creando un canal de comunicación cifrado de extremo a extremo. Esta medida protege eficazmente el flujo de datos de la tarjeta retransmitida contra la interceptación y el análisis por parte de investigadores o fuerzas del orden.

Perfil del Actor de Amenazas: Una Cadena de Suministro Global

La estructura operativa detrás de PhantomCard/SuperCard X no es la de un grupo monolítico, sino la de una cadena de suministro de ciberdelito en varios niveles.

  • Desarrolladores Principales: La evidencia apunta a un grupo de habla china como los desarrolladores principales de la plataforma MaaS, que se anuncia en canales de Telegram bajo nombres como "NFU Pay".1 Este grupo es puramente motivado por fines financieros y no parece tener afiliaciones nacionales o políticas. Su función es desarrollar y mantener la tecnología central. Siguiendo la taxonomía de Microsoft, serían clasificados como un actor con motivación financiera.
  • Afiliados/Revendedores Regionales: El malware se vende a otros grupos criminales que lo despliegan a nivel local. En Brasil, se ha identificado a un actor de amenazas conocido como "Go1ano developer" como uno de estos revendedores. Estos afiliados son los responsables de las fases de ingeniería social, distribución y, lo más importante, el cobro del dinero (cash-out) en cajeros automáticos y TPV. Esta estructura escalonada permite a los desarrolladores principales permanecer aislados de la ejecución directa del fraude, reduciendo su riesgo y maximizando sus beneficios.

IV. SpyBanker: La Audacia de la Redirección de Llamadas y el Vishing

Mientras que PhantomCard ataca el canal de transacciones sin contacto, la familia de troyanos SpyBanker ha evolucionado para corromper uno de los canales de comunicación más confiables entre un cliente y su banco: la llamada telefónica. Al secuestrar esta línea de comunicación, los atacantes pueden ejecutar ataques de vishing (phishing de voz) con un nivel de credibilidad sin precedentes.

Funcionalidad Principal: Secuestrando la Línea Telefónica

La característica definitoria de las variantes más recientes de SpyBanker es la redirección de llamadas. El malware logra esta hazaña a través de varios medios técnicos.

  • Implementación Técnica: Una de las implementaciones más directas implica la edición programática del ajuste de "Número de Desvío de Llamadas" del dispositivo. El malware registra un servicio en segundo plano, a menudo con un nombre genérico comoCallForwardingService, que se activa para realizar este cambio sin la interacción del usuario. Una vez modificado, cualquier llamada entrante no atendida se desvía al número controlado por el atacante.Otras variantes, como el malware FakeCall, adoptan un enfoque aún más invasivo: se configuran como el manejador de llamadas predeterminado del dispositivo. Esto le otorga al malware un control total sobre todas las llamadas, tanto entrantes como salientes.
  • El Resultado del Vishing: El impacto de esta capacidad es profundo. Cuando una víctima, sospechando de una actividad fraudulenta, intenta llamar proactivamente al número de atención al cliente de su banco, el malware intercepta la llamada. Puede redirigirla silenciosamente a un número perteneciente a los estafadores o mostrar una pantalla de llamada falsa que imita la de la aplicación del banco, mientras en segundo plano conecta con el atacante. Los estafadores, haciéndose pasar por empleados del banco, proceden entonces a solicitar credenciales, Códigos de Un Solo Uso (OTPs) o a instruir a la víctima para que autorice transacciones. Este método es extremadamente efectivo porque la víctima cree que ha iniciado el contacto con una fuente de confianza, eliminando gran parte del escepticismo habitual.

Distribución e Ingeniería Social en la India

La campaña de SpyBanker ha encontrado un terreno especialmente fértil en la India, donde los atacantes han adaptado sus tácticas al contexto local.

  • Vector Principal: El malware se distribuye predominantemente a través de archivos APK maliciosos compartidos en plataformas de redes sociales y mensajería, con un énfasis particular en WhatsApp y Telegram.
  • Señuelos Localizados: Los mensajes de ingeniería social están cuidadosamente diseñados para resonar con los usuarios indios. Un señuelo común y muy eficaz es una falsa notificación de actualización de "Conozca a su Cliente" (KYC), un proceso familiar y a menudo obligatorio para los clientes bancarios en la India. Otros señuelos incluyen la suplantación de servicios públicos para el pago de facturas de electricidad o gas, aprovechando la necesidad de realizar estas transacciones cotidianas.
  • Aplicaciones Engañosas: La aplicación maliciosa a menudo suplanta la identidad de un banco indio real o de un proveedor de servicios públicos, utilizando los logotipos correctos y una interfaz de usuario convincente. Esto engaña al usuario para que introduzca información sensible como su número de móvil, PIN de cajero automático, número de tarjeta PAN y, en algunos casos, incluso la cuadrícula de seguridad de la tarjeta de débito.

TTPs y Exfiltración de Datos

Una vez instalado, SpyBanker despliega un conjunto de Tácticas, Técnicas y Procedimientos (TTPs) bien establecidos en el mundo de los troyanos bancarios.

  • Abuso de Permisos: El malware solicita permisos "peligrosos" como RECEIVE_SMS y SEND_SMS.5 Esto le permite interceptar los mensajes SMS entrantes, un paso crítico para eludir la Autenticación de Dos Factores (2FA) al capturar los OTPs enviados por el banco.
  • Robo de Información: Utiliza las clásicas pantallas de superposición (overlays) para suplantar las aplicaciones bancarias legítimas y solicitar credenciales.9 Los datos robados incluyen información de identificación personal (PII), detalles completos de tarjetas de pago (número de 16 dígitos, CVV, fecha de caducidad) y credenciales de banca en línea.
  • Exfiltración de Datos: La información capturada se exfiltra a un servidor de Comando y Control (C2) controlado por el atacante, a menudo mediante solicitudes HTTP POST a un script PHP.5 En algunos casos, los datos robados también se envían directamente al número de teléfono del atacante a través de SMS.5 Algunas variantes más recientes utilizan servicios de backend de código abierto como Supabase o Firebase para su infraestructura de C2, posiblemente en un intento de mezclarse con el tráfico legítimo y dificultar el bloqueo.
  • Sigilo: Después de recopilar los datos, el malware a menudo oculta su icono de la pantalla de inicio del dispositivo para persistir sin ser detectado mientras se ejecuta en segundo plano.

Análisis Comparativo: SpyBanker en el Ecosistema de Troyanos

Aunque innovador en su enfoque de vishing, SpyBanker comparte un ADN común con otros troyanos bancarios importantes para Android.

  • Las funcionalidades principales de SpyBanker, como los overlays y la interceptación de SMS, son características estándar en troyanos notorios como Anubis, Cerberus y Ghimob.
  • Anubis es conocido por sus capacidades adicionales de keylogging, grabación de audio y ransomware. Su código fuente, filtrado en 2019, llevó a su adopción y modificación generalizada por parte de numerosos grupos criminales.
  • Cerberus se distinguió por sus avanzadas capacidades de Troyano de Acceso Remoto (RAT), utilizando técnicas de VNC para proporcionar un control remoto completo del dispositivo. Su código filtrado también dio lugar a una nueva generación de amenazas como Alien y Hook.
  • Ghimob, un troyano brasileño, es notable por su alcance global y su capacidad para realizar fraudes en segundo plano mientras el usuario ve una pantalla en negro, una forma de secuestro de sesión en tiempo real.
  • La Distinción de SpyBanker: Si bien comparte un conjunto de características comunes, la evolución de SpyBanker para incluir una sofisticada redirección de llamadas representa un avance significativo en el aspecto de ingeniería social del ataque. Este enfoque en la manipulación de la comunicación por voz en vivo es un diferenciador clave, convirtiéndolo en una herramienta de vishing particularmente potente y peligrosa.

V. La Base del Control: Explotando Vulnerabilidades a Nivel de Kernel

Si los ataques de retransmisión NFC y el secuestro de llamadas representan la vanguardia de las tácticas de fraude, la explotación de vulnerabilidades a nivel de kernel es la base que permite el control absoluto y persistente del dispositivo. El abuso de fallos en frameworks de rooteo como KernelSU otorga a los atacantes el "santo grial" de la ciberseguridad móvil: el acceso root.

El Exploit de KernelSU (CVE-2023-49794): Un Desglose Técnico

KernelSU es una solución moderna de rooteo para Android que, a diferencia de los métodos más antiguos, integra la gestión de los privilegios de superusuario directamente en el kernel del sistema operativo. Esto lo hace extremadamente potente, pero también lo convierte en un objetivo de alto valor para los atacantes.

  • La Vulnerabilidad: El fallo, identificado como CVE-2023-49794, reside en la lógica que utiliza el módulo del kernel para autenticar la aplicación de gestión de KernelSU, conocida como KernelSU Manager. Específicamente, la funciónget apk path que verifica la legitimidad de la aplicación podía ser eludida.
  • Mecanismo de Explotación: El método de explotación es alarmantemente simple. Un atacante puede crear una aplicación maliciosa y asignarle el mismo nombre de paquete que la aplicación oficial de KernelSU Manager: me.weishu.kernelsu. Cuando un usuario que tiene instalada una versión vulnerable de KernelSU intenta instalar este APK malicioso y no verificado, el módulo del kernel lo autentica incorrectamente como si fuera el gestor legítimo.
  • El Resultado: Como resultado de esta autenticación fallida, a la aplicación maliciosa se le otorgan permisos de root completos. En efecto, la aplicación del atacante secuestra la gestión de los privilegios de superusuario del dispositivo, logrando un compromiso total y absoluto.

El Impacto de la Escalada de Privilegios: El "Santo Grial"

La escalada de privilegios es el acto de explotar un error, un fallo de diseño o una vulnerabilidad para obtener un acceso elevado a recursos que normalmente están protegidos. Obtener acceso root en un sistema basado en Linux como Android es la forma definitiva de escalada de privilegios.

  • Por Qué es Crítico: Con acceso root, un atacante puede:
  • Eludir todos los controles de seguridad estándar de Android basados en permisos. Las restricciones que normalmente aíslan a las aplicaciones entre sí dejan de tener efecto.
  • Instalar malware persistente en la partición del sistema. Este tipo de malware puede sobrevivir incluso a un restablecimiento de fábrica del dispositivo, haciéndolo extremadamente difícil de eliminar.
  • Acceder a los datos en bruto de cualquier otra aplicación en el dispositivo. Esto incluye aplicaciones bancarias, gestores de contraseñas, clientes de correo electrónico y aplicaciones de mensajería cifrada. Toda la información del usuario queda expuesta.
  • Instalar keyloggers, grabadores de pantalla y otro spyware a un nivel que es invisible para el usuario y para la mayoría de las aplicaciones de seguridad. El malware puede operar con un sigilo casi perfecto.
  • Manipular el sistema operativo a un nivel fundamental. Esto es análogo a exploits de kernel históricos y notorios como Dirty COW (CVE-2016-5195) o Dirty Pipe, que permitían a usuarios sin privilegios escribir en archivos de solo lectura y tomar el control del sistema.

Implicaciones Más Amplias y el Riesgo de los Frameworks de Rooteo

El caso de KernelSU no es un incidente aislado, sino que pone de manifiesto un riesgo sistémico asociado con el uso de herramientas de rooteo de terceros.

  • La Espada de Doble Filo: Los frameworks de rooteo como KernelSU, APatch y SKRoot proporcionan a los usuarios avanzados un control mejorado sobre sus dispositivos, pero al mismo tiempo introducen una superficie de ataque significativa y de alto privilegio.
  • Supervisión de Seguridad: Como destacó la firma de seguridad Zimperium, estas herramientas a menudo son desarrolladas por equipos pequeños o desarrolladores independientes que carecen de los procesos rigurosos de revisión de seguridad y auditoría de una gran corporación como Google.6 Esta falta de supervisión puede llevar a la introducción de vulnerabilidades críticas como CVE-2023-49794.
  • Un Objetivo para los Atacantes: La mera existencia de una aplicación con privilegios de superusuario en un dispositivo la convierte en un objetivo atractivo para otras aplicaciones maliciosas que buscan escalar sus propios privilegios. La seguridad de todo el dispositivo pasa a depender de la seguridad del propio framework de rooteo. La creciente popularidad de estas herramientas está creando un grupo cada vez mayor de dispositivos altamente vulnerables, listos para ser completamente tomados por los atacantes.

VI. Análisis Técnico del Código y Linaje de Código Abierto

Para comprender plenamente la sofisticación de estas amenazas, es crucial analizar no solo su comportamiento, sino también su construcción a nivel de código. Aunque el código fuente completo y propietario es inaccesible, el análisis de su linaje y la reconstrucción de fragmentos conceptuales revelan sus mecanismos internos.

PhantomCard/SuperCard X: Una Bifurcación (Fork) Armada de NFCGate

La investigación ha establecido de manera concluyente que el malware de retransmisión NFC como NGate y SuperCard X no fue creado desde cero. En cambio, son bifurcaciones (forks) instrumentalizadas del proyecto académico de código abierto NFCGate, desarrollado por estudiantes de la Universidad Técnica de Darmstadt y disponible públicamente en GitHub.

NFCGate fue diseñado como un kit de herramientas de investigación para capturar, analizar y modificar el tráfico NFC, con una funcionalidad clave llamada "Relay Mode" (Modo de Retransmisión). Este modo es precisamente lo que los actores de amenazas han abusado. Utiliza dos dispositivos Android: uno actúa como "lector" para capturar los datos de la tarjeta de la víctima, y el otro emula la tarjeta usando la Emulación de Tarjeta Basada en Host (HCE) de Android para interactuar con un terminal de pago. La comunicación entre ambos se realiza a través de un servidor.

Fragmento Conceptual: Servicio de Emulación de Tarjeta (HCE)

Para que la aplicación del atacante ("Tapper") emule la tarjeta de la víctima, implementaría un HostApduService. Este servicio es el punto de entrada para que el sistema operativo Android le envíe los paquetes de datos (APDU) del lector NFC. El registro de este servicio en el AndroidManifest.xml del atacante se vería así:

XML

<service android:name=".HceTapperService" android:exported="true" android:permission="android.permission.BIND_NFC_SERVICE"> <intent-filter> <action android:name="android.nfc.cardemulation.action.HOST_APDU_SERVICE"/> </intent-filter> <meta-data android:name="android.nfc.cardemulation.host_apdu_service" android:resource="@xml/apduservice"/></service>

El servicio HceTapperService recibiría los datos del terminal, los enviaría a través de la red al teléfono de la víctima (la aplicación "Reader"), esperaría la respuesta de la tarjeta física de la víctima y luego devolvería esa respuesta al terminal, completando la retransmisión.

SpyBanker/FakeCall: Técnicas de Secuestro de Llamadas

Este malware utiliza dos técnicas principales para interceptar las comunicaciones telefónicas.

Técnica 1: Desvío de Llamadas con Códigos MMI

Las variantes más simples modifican la configuración de desvío de llamadas del sistema. El malware registra un servicio en segundo plano, como CallForwardingService, para editar el número de desvío de llamadas a un número controlado por el atacante. Esto se puede lograr mediante la ejecución de códigos MMI (Man-Machine Interface) a través de un

Intent de llamada.

Fragmento Conceptual: Activación de Desvío de Llamadas

Java

// El número del atacante al que se desviarán las llamadasString attackerPhoneNumber = "123456789"; // Código MMI para desvío incondicional: **21*NUMERO#String callForwardString = "**21*" + attackerPhoneNumber + "#";Intent intentCallForward = new Intent(Intent.ACTION_CALL);Uri uri = Uri.fromParts("tel", callForwardString, "#");intentCallForward.setData(uri);// Requiere el permiso <uses-permission android:name="android.permission.CALL_PHONE" />startActivity(intentCallForward);

Técnica 2: Secuestro del Manejador de Llamadas Predeterminado

Una técnica más avanzada y sigilosa, utilizada por malware como FakeCall, es establecerse como la aplicación de teléfono predeterminada. Esto le otorga control total sobre las llamadas. Para lograrlo, la aplicación maliciosa debe solicitar al usuario que la establezca como predeterminada, a menudo mediante engaños. En versiones modernas de Android (10+), esto se hace a través del RoleManager.

Fragmento Conceptual: Solicitud para ser el Manejador de Llamadas Predeterminado

Kotlin

// En Android 10 (API 29) y superiorval roleManager = getSystemService(Context.ROLE_SERVICE) as RoleManager// Comprobar si la app ya tiene el rolif (roleManager.isRoleAvailable(RoleManager.ROLE_CALL_REDIRECTION) && !roleManager.isRoleHeld(RoleManager.ROLE_CALL_REDIRECTION)) { // Solicitar el rol al usuario val intent = roleManager.createRequestRoleIntent(RoleManager.ROLE_CALL_REDIRECTION) startActivityForResult(intent, REQUEST_CODE)}

Una vez que es el manejador predeterminado, el malware puede interceptar una llamada saliente a un banco, mostrar una pantalla de llamada falsa, pero en segundo plano, conectar la llamada a los estafadores.28

Exploit de KernelSU: La Simplicidad de una Falla Lógica

El exploit de CVE-2023-49794 no se basa en un código complejo que corrompe la memoria, sino en una falla de lógica de autenticación.7 El módulo del kernel de KernelSU verifica el nombre del paquete de la aplicación que solicita privilegios de superusuario, pero esta verificación puede ser eludida.

El "código" del exploit es una simple declaración en el archivo de manifiesto de la aplicación maliciosa.

Fragmento Conceptual: Manifiesto del APK Malicioso

El atacante simplemente necesita crear una aplicación y establecer su nombre de paquete como el del gestor oficial de KernelSU en su archivo AndroidManifest.xml:

XML

<manifest xmlns:android="http://schemas.android.com/apk/res/android" package="me.weishu.kernelsu"> <application android:label="@string/app_name" ...> ... </application></manifest>

Cuando un usuario con una versión vulnerable de KernelSU instala este APK, el módulo del kernel lo autentica incorrectamente como si fuera la aplicación legítima, otorgándole plenos privilegios de root.7

VII. Las Consecuencias Económicas: Cuantificando el Daño en los Epicentros del Fraude

Estimar el impacto económico preciso del malware bancario móvil es una tarea notoriamente difícil. Las instituciones financieras a menudo no informan de la totalidad de las pérdidas para proteger su reputación, y muchas víctimas individuales no denuncian los fraudes de menor cuantía. Las cifras que se presentan a continuación se basan en datos públicos disponibles de agencias gubernamentales, empresas de seguridad e informes de noticias, y es probable que representen una estimación conservadora del verdadero daño financiero.

Epicentro 1: Brasil

Brasil se ha consolidado como un punto caliente global para el malware financiero, ocupando el segundo lugar a nivel mundial en fraude de banca en línea.40 La rápida digitalización del país, la alta adopción de la banca móvil (8 de cada 10 transacciones son digitales) y la ubicuidad del sistema de pagos instantáneos PIX crean un terreno fértil para el fraude.41

  • Escala del Problema: Un informe de BioCatch afirma que las estafas financieras causaron pérdidas por más de R$ 2 mil millones en el último año, afectando a más de 40 millones de brasileños, con el 90% de estas estafas ocurriendo en dispositivos móviles. Otro informe de Serasa Experian señaló que los intentos de fraude en el primer trimestre de 2025, de haber tenido éxito, habrían representado una pérdida potencial de más deR$ 15,7 mil millones.44 En 2024, se estimó que las pérdidas por fraude ascendieron aR$ 10,1 mil millones.
  • Prevalencia del Malware: La telemetría de Kaspersky muestra que el 90% de las infecciones del troyano bancario Coyote se producen en Brasil. En 2024, el 97% de los intentos de ataque de malware móvil en Brasil correspondieron a variantes de "FakePay", diseñadas para crear recibos de pago PIX falsos, lo que pone de manifiesto el enfoque en el ecosistema de pagos local.
  • Riesgo Sistémico: El ciberataque de 2025 contra C&M Software, un Intermediario de Tecnología del Sistema de Pagos (PSTI), demuestra el riesgo sistémico. Al comprometer a un proveedor de servicios central, los atacantes pudieron inyectar órdenes PIX fraudulentas y desviar R$ 18 millones de una sola fintech (BMP Money Plus), y al menos otras cinco instituciones también se vieron afectadas. Esto pone de relieve cómo una única vulnerabilidad en la cadena de suministro financiero puede tener efectos en cascada.

Epicentro 2: India

La masiva y creciente economía digital de la India la ha convertido en un objetivo principal. La sofisticación de las campañas de malware y phishing ha provocado un aumento alarmante de las pérdidas financieras.

  • Un Problema en Rápido Crecimiento: Según el Ministerio de Finanzas, en los primeros 10 meses del año fiscal 2025 (abril-enero), los fraudes financieros digitales involucraron ₹4.245 crore (aproximadamente 510 millones de dólares estadounidenses) en 2,4 millones de incidentes. Esto representa un aumento significativo con respecto a los ₹2.537 crore del año fiscal 2023.50
  • Alto Volumen de Ataques: Los datos del Centro de Coordinación de Delitos Cibernéticos de la India (I4C) sugieren que las pérdidas podrían superar los 1,2 billones (aproximadamente 14.400 millones de dólares estadounidenses) en el próximo año si no se implementan contramedidas más estrictas.51 El número de casos de fraude a gran escala (de 1 lakh o más) se disparó de 815 en el año fiscal 2015 a 29.082 en el año fiscal 2024.51
  • UPI como Objetivo: La Interfaz de Pagos Unificada (UPI) ha sido un foco principal para los estafadores. La decisión de la Corporación Nacional de Pagos de la India (NPCI) de eliminar la función de transacción "pull" (solicitud de pago) fue una respuesta directa a su abuso generalizado en estafas que provocaron importantes pérdidas financieras para los usuarios.
  • Impacto Individual: Los informes de noticias ilustran el coste personal, como el caso de un gerente de banco jubilado que perdió ₹30,45 lakh (aproximadamente 36.500 dólares estadounidenses) en una estafa de una aplicación de comercio de acciones falsa, una táctica de ingeniería social común que conduce a la instalación de malware o al robo financiero directo.

VIII. Conclusión: Recomendaciones para una Defensa Reforzada en una Nueva Era del Fraude

El análisis de PhantomCard, SpyBanker y las vulnerabilidades a nivel de kernel revela una verdad ineludible: la amenaza moderna a la banca móvil ya no es un simple ataque automatizado. Es interactiva, en tiempo real y está impulsada por un ecosistema criminal global y mercantilizado. Los atacantes están instrumentalizando herramientas de código abierto, combinando malware sofisticado con ingeniería social dirigida, y cambiando su enfoque del robo de datos estáticos al secuestro de transacciones y sesiones en vivo.

Recomendaciones para las Instituciones Financieras

  • Ir Más Allá de la 2FA Estática: Es imperativo reconocer que los OTPs basados en SMS son vulnerables a la interceptación por parte de malware como SpyBanker. Se debe invertir en métodos de autenticación más robustos y fuera de banda, así como en biometría del comportamiento para validar la identidad y la intención del usuario.
  • Adoptar la Monitorización de Transacciones en Tiempo Real: Implementar sistemas capaces de detectar las sutiles anomalías de un ataque en vivo. Para la retransmisión NFC, esto podría implicar la exploración de conceptos como la huella digital de RF o la delimitación de distancia.17 Para el secuestro de sesiones, significa monitorizar comportamientos inusuales dentro de la sesión, como clics automatizados o acciones inconsistentes con la interacción humana.
  • Reforzar la Seguridad de la Cadena de Suministro: La brecha de C&M Software en Brasil es una dura advertencia.49 Las instituciones financieras deben examinar rigurosamente la postura de seguridad de sus proveedores de tecnología de terceros (PSTIs) y hacer cumplir estrictos controles de acceso.
  • Mejorar la Educación del Cliente: La formación debe evolucionar más allá del "no hagas clic en enlaces sospechosos". Necesita preparar a los usuarios para escenarios de alta presión e interactivos de TOAD y vishing, enseñándoles a ser escépticos ante las llamadas no solicitadas y a verificar de forma independiente cualquier solicitud colgando y llamando directamente al banco a un número conocido y de confianza.

Recomendaciones para Usuarios Avanzados y Profesionales de la Seguridad

  • Practicar un Escrutinio Extremo de las Aplicaciones Sideloaded: El principal vector de distribución de estos troyanos avanzados son las tiendas de aplicaciones no oficiales y los enlaces directos.3 Se debe evitar la instalación de APKs de fuentes no confiables.
  • Implementar el Principio de Mínima Funcionalidad: Desactivar la función NFC cuando no esté en uso activo para mitigar el riesgo de ataques de retransmisión.14 Se debe ser extremadamente cauteloso al conceder permisos potentes, especialmente a los Servicios de Accesibilidad, que son una puerta de entrada para que malware como Ghimob y Cerberus logren el control del dispositivo.
  • Evitar el Rooteo Innecesario: Para la gran mayoría de los usuarios, los riesgos de seguridad introducidos por los frameworks de rooteo como KernelSU superan con creces los beneficios. Si el rooteo es necesario, hay que asegurarse de que el framework provenga de una fuente de alta reputación y se mantenga meticulosamente actualizado para parchear vulnerabilidades como CVE-2023-49794.6
  • Reconocer las Señales de un Ataque Interactivo: Hay que ser consciente de que los atacantes intentarán generar confianza y crear una sensación de urgencia. Cualquier solicitud realizada por teléfono para instalar software, cambiar la configuración de seguridad o proporcionar información sensible debe ser tratada como una señal de alarma.

Análisis Prospectivo

El futuro del fraude bancario móvil estará cada vez más definido por la convergencia de la ingeniería social impulsada por IA (por ejemplo, vishing con voz deepfake), el secuestro de sesiones en tiempo real y los ataques a la infraestructura subyacente de las finanzas digitales. El campo de batalla se está desplazando de la contraseña del usuario a la sesión en vivo del usuario y a los propios protocolos de confianza que sustentan las transacciones digitales. Las defensas deben volverse igualmente dinámicas, inteligentes y conscientes del contexto para tener una oportunidad de éxito.


Nestor Martin Guerra Garcia (Dr.Plaga)

Nestor Martin Guerra Garcia (Dr.Plaga)

Threat intelligence | Protección de Datos y Gestión de Riesgos | Old school
Volver al blog