Por Mid 
PhantomCard y SpyBanker: nueva oleada de malware Android contra el sector bancario
Tiempo estimado de lectura: 5 minutos | Dificultad técnica: Media
Conclusiones clave
- PhantomCard utiliza tecnología NFC relay para clonar tarjetas contactless en Brasil.
- SpyBanker manipula redirecciones de llamadas y captura SMS de aplicaciones bancarias en India.
- El auge de Malware as a Service (MaaS) facilita la proliferación de estos ataques.
- El fraude en transacciones contactless presenta serios riesgos de seguridad financiera.
- Se recomienda implementar autenticación multifactor y monitorear desvíos de llamadas.
Índice
- Funcionamiento de PhantomCard
- Acciones de SpyBanker
- Tendencias inquietantes
- Impacto potencial de estas amenazas
- Recomendaciones para mitigar riesgos
Funcionamiento de PhantomCard
El malware PhantomCard opera en tiempo real mediante una aplicación fraudulenta llamada “Proteção Cartões”. Esta aplicación engaña al usuario pidiéndole que coloque su tarjeta en la parte trasera del dispositivo móvil. Los datos EMV son entonces transmitidos a un teléfono del atacante que se encuentra cerca del terminal de punto de venta (TPV) o cajero automático (ATM). Asimismo, PhantomCard es capaz de robar el PIN del usuario; después de leer la pista 2, solicita el código y lo envía a un servidor de comando y control (C2). Este malware tiene su origen en servicios de Malware as a Service (MaaS) provenientes de China, ya que el actor brasileño Go1ano developer revende una versión modificada del servicio NFU Pay.
Acciones de SpyBanker
SpyBanker, por su parte, se distribuye a través de WhatsApp bajo el nombre “Customer Help Service.apk”. Este malware se encarga de manipular las redirecciones de llamadas al registrar el servicio CallForwardingService, enviar un código USSD y, de esta manera, reenviar las llamadas y códigos de un solo uso (OTP) a un número controlado por el atacante. Además, realiza la captura masiva de SMS, notificaciones y credenciales de acceso a aplicaciones de banca móvil de más de 40 entidades en India.
Tendencias inquietantes
ThreatFabric ha indicado que la disponibilidad de servicios MaaS como SuperCard X, KingNFC y NFU Pay ha facilitado la proliferación de ataques relay. Por otra parte, Zimperium ha señalado que existen frameworks de rooteo como KernelSU y APatch que simplifican la escalada de privilegios en dispositivos comprometidos.
Impacto potencial de estas amenazas
El fraude en transacciones contactless es una de las principales preocupaciones, ya que permite realizar transacciones sin necesidad de PIN hasta el límite establecido por la normativa local, además de la posible clonación de tarjetas EMV. El secuestro de llamadas es otra repercusión seria, ya que podría interceptar autorizaciones telefónicas y facilitar ataques de ingeniería social conocidos como Business Email Compromise (BEC). La exfiltración de datos y el riesgo de cargas adicionales son también consecuencias alarmantes de estos ataques.
Recomendaciones para mitigar riesgos
Se sugiere no instalar aplicaciones APK fuera de Google Play y siempre verificar las URL antes de descargar aplicaciones «de protección». Además, es recomendable desactivar el NFC cuando no esté en uso y limitar los pagos sin contacto desde las aplicaciones bancarias. La revisión de desvíos de llamadas mediante el comando *#21# y la revocación de los permisos de accesibilidad concedidos a aplicaciones no legítimas son pasos importantes. Implementar autenticación multifactor (MFA) dentro de la aplicación, que no dependa de SMS o llamadas telefónicas, y monitorear eventos de desvío de llamadas son medidas adicionales a seguir.
Para los desarrolladores, es altamente recomendable firmar los archivos APK, fijar hashes y realizar auditorías de las bibliotecas de terceros utilizadas. Aquellas entidades que combinan auditorías periódicas con servicios de Threat Intelligence están en una mejor posición para anticiparse a campañas de amenazas como PhantomCard o SpyBanker. Un enfoque eficaz es integrar un flujo continuo de inteligencia, como el SOC Threat Intelligence de Hispasec, con plataformas de detección móvil como MAIA, que monitorean en tiempo real las infecciones en dispositivos móviles de los clientes, contribuyendo a la reducción de riesgos financieros y de cumplimiento.