### Crecen los ataques de malware de relay NFC en Europa del Este: Más de 760 apps Android implicadas
#### Introducción
El ecosistema de amenazas móviles en Europa del Este ha experimentado un alarmante incremento en la popularidad y sofisticación de las técnicas de relay NFC (Near-Field Communication) para el robo de información de tarjetas de pago. Investigaciones recientes han identificado más de 760 aplicaciones maliciosas para Android que emplean este vector de ataque, lo que posiciona a los dispositivos móviles como uno de los principales objetivos de la ciberdelincuencia en la región durante los últimos meses.
#### Contexto del Incidente o Vulnerabilidad
El uso fraudulento de la tecnología NFC no es nuevo, pero el volumen y la eficiencia de los ataques detectados recientemente representan un salto cualitativo y cuantitativo en el panorama de amenazas. La adopción masiva de pagos móviles y la proliferación de terminales compatibles con NFC en Europa del Este han creado un entorno propicio para la explotación de esta tecnología. Los ciberdelincuentes han evolucionado desde técnicas de phishing tradicionales hacia métodos más avanzados, como el relay de comunicaciones NFC, aprovechando la confianza depositada en la autenticación por proximidad.
#### Detalles Técnicos
**CVE y vectores de ataque:**
Aunque no existe un CVE específico asociado a estas campañas, el vector de ataque reside en la explotación de permisos excesivos en el sistema Android, combinados con la manipulación de la API NFC. Las aplicaciones maliciosas, una vez instaladas, monitorizan los eventos NFC y capturan las señales de tarjetas de crédito o débito almacenadas en el dispositivo o vinculadas mediante Google Pay y otras apps de pago.
**Técnica de relay:**
El ataque de relay NFC emplea dos dispositivos: uno próximo al usuario víctima (con la app maliciosa instalada) y otro junto a un terminal de pago legítimo. La información NFC es «retransmitida» en tiempo real entre ambos dispositivos a través de Internet (por ejemplo, mediante WebSockets cifrados), permitiendo a los atacantes realizar transacciones fraudulentas como si el dispositivo legítimo estuviera presente físicamente.
**TTP MITRE ATT&CK:**
– **T1071.001 (Application Layer Protocol: Web Protocols):** Comunicación entre dispositivos para retransmitir datos.
– **T1510 (Credentials from Password Stores):** Acceso a credenciales almacenadas en aplicaciones de pago.
– **T1649 (Steal or Forge Authentication Certificates):** Suplantación de tokens de autenticación NFC.
**Indicadores de compromiso (IoC):**
– Detección de tráfico sospechoso hacia dominios C2 (Command & Control) relacionados con la retransmisión de datos NFC.
– Presencia de permisos excesivos en aplicaciones que solicitan acceso a NFC, SMS y accesibilidad.
– Instalación de APKs desde orígenes ajenos a Google Play Store.
#### Impacto y Riesgos
El alcance de la campaña es considerable: se estima que el 4% de los dispositivos Android en Europa del Este han sido expuestos a aplicaciones con capacidades de relay NFC en los últimos tres meses. Las pérdidas económicas asociadas ascienden a varios millones de euros, con transacciones fraudulentas que oscilan entre los 50 y los 1.500 euros por incidente, según fuentes bancarias. Además, la sofisticación de estos ataques dificulta la atribución y la detección temprana por parte de los sistemas de prevención de fraude tradicionales.
#### Medidas de Mitigación y Recomendaciones
– **Actualización de sistemas:** Asegurarse de que todos los dispositivos Android estén actualizados a la versión más reciente, priorizando parches de seguridad críticos.
– **Restricción de permisos:** Auditar y revocar permisos de acceso a NFC para aplicaciones que no requieran dicha funcionalidad.
– **Implementación de soluciones MDM:** Utilizar Mobile Device Management para controlar la instalación de apps y monitorizar eventos NFC.
– **Educación y concienciación:** Informar a los usuarios sobre los riesgos de instalar aplicaciones fuera de fuentes oficiales y sobre la importancia de las revisiones de permisos.
– **Detección de IoC:** Integrar nuevas reglas en sistemas EDR/XDR y SIEM para identificar patrones de comunicación asociados a relay NFC.
#### Opinión de Expertos
Según Alexander Petrov, analista senior en amenazas móviles, «el abuso de la tecnología NFC mediante técnicas de relay representa una de las amenazas más serias para la banca móvil y los pagos sin contacto. Los controles de seguridad implementados por Google y los fabricantes de smartphones aún están lejos de ser suficientes ante la creatividad y recursos de los actores maliciosos».
Desde el CERT de Rumanía, se destaca la necesidad de colaboración internacional: «La naturaleza transfronteriza de estos ataques exige una respuesta coordinada entre los CERT europeos, los proveedores de servicios de pago y las fuerzas de seguridad».
#### Implicaciones para Empresas y Usuarios
Para las empresas, especialmente las del sector financiero y retail, la proliferación de malware de relay NFC implica una revisión urgente de sus estrategias de ciberseguridad móvil, así como la adaptación de sus sistemas antifraude a estos nuevos vectores. El cumplimiento normativo (GDPR, NIS2) también se ve afectado, ya que el robo de datos de pago puede desencadenar notificaciones obligatorias y sanciones económicas.
Para los usuarios, el riesgo se traduce en la posibilidad de que sus tarjetas sean utilizadas sin consentimiento, incluso sin perder la posesión física del dispositivo. La educación en ciberhigiene y la restricción de la instalación de aplicaciones desde marketplaces no oficiales son más relevantes que nunca.
#### Conclusiones
El auge del malware de relay NFC en Europa del Este evidencia la creciente profesionalización de los ataques dirigidos a plataformas móviles y la necesidad de evolucionar los controles de seguridad tanto a nivel usuario como corporativo. La rápida adaptación de los ciberdelincuentes a las nuevas tecnologías de pago exige una respuesta proactiva desde todos los ámbitos de la seguridad de la información.
(Fuente: www.bleepingcomputer.com)