PhantomCard y SpyBanker: nueva oleada de malware Android contra el sector bancario

Recientemente, ThreatFabric destapó la aparición de PhantomCard, un troyano NFC-relay capaz de clonar tarjetas contactless en Brasil, mientras que K7 Labs alertó sobre SpyBanker, un dropper que desvía llamadas bancarias en la India. Ambas campañas ponen de relieve la necesidad de reforzar la seguridad de pagos sin contacto y de las políticas de desvío de llamadas.

¿Cómo actúa PhantomCard?

• NFC relay en tiempo real: la aplicación falsa “Proteção Cartões” pide al usuario apoyar su tarjeta en la parte trasera del móvil; los datos EMV se retransmiten a un teléfono del atacante situado junto al TPV/ATM.
• Robo del PIN: tras leer la pista 2, la interfaz solicita el código y lo envía al servidor C2.
• Origen MaaS chino: el actor brasileño Go1ano developer revende una versión personalizada del servicio NFU Pay.

¿Qué hace SpyBanker?

• Distribución vía WhatsApp con el nombre “Customer Help Service.apk”.
• Manipulación de desvíos de llamada: registra CallForwardingService, marca un código USSD y reenvía llamadas (y OTP) a un número controlado por el atacante.
• Recolección masiva de SMS, notificaciones y credenciales de banca móvil de más de 40 entidades indias.

Tendencia preocupante

ThreatFabric advierte que servicios MaaS como SuperCard X, KingNFC o NFU Pay están popularizando los ataques relay; al mismo tiempo, Zimperium señala que frameworks de rooteo (KernelSU, APatch) facilitan la escalada de privilegios en dispositivos comprometidos.

Impacto potencial

1. Fraude contactless: transacciones sin PIN hasta el límite local y clonación de tarjetas EMV.
2. Secuestro de llamadas: intercepta autorizaciones telefónicas y refuerza ataques BEC.
3. Exfiltración de datos y posibilidad de cargas adicionales.

Recomendaciones

• No instalar APK fuera de Google Play y verificar siempre la URL antes de descargar supuestas apps de “protección”.
• Desactivar NFC cuando no se use y limitar pagos sin contacto en la app bancaria.
• Comprobar desvíos de llamada (*#21#) y revocar permisos de accesibilidad a apps no legítimas.
• Implementar MFA in-app que no dependa de SMS/llamadas y monitorizar eventos de call-forwarding.
• Para desarrolladores: firmar APK, fijar hashes y auditar librerías de terceros.

Las entidades que combinan auditorías periódicas con servicios de Threat Intelligence reaccionan antes a campañas como PhantomCard o SpyBanker. Un enfoque efectivo es integrar un flujo continuo de inteligencia (por ejemplo, el SOC Threat Intelligence de Hispasec) con plataformas de detección móvil como MAIA, que vigila en tiempo real las infecciones en dispositivos de clientes y ayuda a reducir el riesgo financiero y de cumplimiento

Más información

• Hispasec – https://hispasec.com/es/servicios/maia
• The Hacker News – New Android Malware Wave Hits Banking via NFC Relay Fraud, Call Hijacking, and Root Exploits
• ThreatFabric – PhantomCard: New NFC-driven Android malware emerging in Brazil
• K7 Labs – Android SpyBanker: Rerouting Calls to Attackers

La entrada PhantomCard y SpyBanker: nueva oleada de malware Android contra el sector bancario se publicó primero en Una Al Día.

Artículo de Mayela Marín publicado en https://unaaldia.hispasec.com/2025/08/phantomcard-y-spybanker-nueva-oleada-de-malware-android-contra-el-sector-bancario.html?utm_source=rss&utm_medium=rss&utm_campaign=phantomcard-y-spybanker-nueva-oleada-de-malware-android-contra-el-sector-bancario