Cyble Research and Intelligence Labs (CRIL) ha descubierto una campaña de phishing activa y en evolución dirigida a usuarios en Brasil. Denominada RelayNFC, esta familia de malware para Android está diseñada específicamente para realizar ataques de retransmisión NFC para pagos sin contacto fraudulentos.

   La campaña se dirige a usuarios en Brasil y utiliza una página convincente en portugués que incita a las víctimas a instalar una aplicación con el pretexto de proteger sus tarjetas de pago. La aplicación maliciosa está diseñada para capturar los datos de la tarjeta de la víctima y transmitirlos a los atacantes para realizar transacciones fraudulentas. 

   RelayNFC es un malware ligero pero altamente evasivo gracias a su carga útil compilada en Hermes. Esto dificulta considerablemente su detección, lo que le permite capturar sigilosamente los datos de las tarjetas de las víctimas y retransmitirlos en tiempo real a un servidor controlado por el atacante.

• RelayNFC implementa un canal de retransmisión APDU (Application Protocol Data Unit) completo en tiempo real, lo que permite a los atacantes completar transacciones como si la tarjeta de la víctima estuviera físicamente presente.
• Su distribución se basa completamente en el phishing, engañando a los usuarios para que descarguen el malware RelayNFC. El malware se crea con React Native y bytecode Hermes, lo que dificulta el análisis estático y ayuda a evadir la detección.
• Una variante relacionada intenta implementar la Host Card Emulation (HCE), lo que demuestra que el atacante está explorando técnicas alternativas de retransmisión NFC.
• Las detecciones de VirusTotal se mantienen en cero, lo que indica una visibilidad muy baja en el ecosistema de seguridad, y el código sugiere una alta probabilidad de desarrollo continuo, lo que pone de manifiesto su reciente aparición y el potencial de un uso indebido generalizado.
• RelayNFC parece ser una variante recién desarrollada que utiliza el framework React Native para facilitar el fraude de retransmisión NFC.

Si bien los pagos sin contacto se consideraban tradicionalmente seguros, esta percepción ha cambiado a medida que los atacantes los explotan activamente. Se identificaron cinco sitios con una interfaz de usuario similar, todos ellos distribuyendo la misma aplicación maliciosa, lo que indica una operación coordinada y continua dirigida a usuarios brasileños. 

RelayNFC funciona como un "lector", lo que permite al malware capturar los datos de la tarjeta de la víctima y transmitirlos al servidor del atacante. Tras la instalación, la aplicación muestra inmediatamente una pantalla de phishing que indica al usuario que toque el dispositivo con su tarjeta de pago. Una vez leídos los datos de la tarjeta, RelayNFC muestra otra pantalla de phishing que solicita a la víctima que introduzca su PIN de 4 o 6 dígitos.

Cepas de malware como Ngate, SuperCardX, PhantomCard ponen de relieve esta creciente tendencia. Estas amenazas abusan de las capacidades de la Comunicación de Campo Cercano (NFC) para interceptar o retransmitir datos de pagos sin contacto, a menudo entregados a través de sitios de phishing o impostores camuflados como servicios de confianza.

El código RelayNFC se basa en un canal de retransmisión en tiempo real que conecta el smartphone de la víctima con el servidor de comandos del atacante. Este canal utiliza una conexión WebSocket persistente para reenviar comandos APDU (unidad de comunicación entre un lector de tarjetas y una tarjeta) entre el atacante y el subsistema NFC de la víctima, convirtiendo así el dispositivo infectado en un lector NFC remoto para el atacante.

Una vez activada la conexión WebSocket, RelayNFC escucha los mensajes entrantes del servidor. Admite dos tipos principales de mensajes: un intercambio ping-pong para mantener la sesión y comandos APDU que controlan el proceso de lectura y retransmisión de tarjetas.

Fuente: Cyble

Vía:
https://blog.segu-info.com.ar/2025/11/relaynfc-nuevo-malware-de-retransmision.html