Nuevo malware para Android que copia tarjetas con NFC

  • SuperCard X es un avanzado malware de Android que explota la tecnología NFC para robar datos de tarjetas bancarias.
  • Se distribuye mediante técnicas sofisticadas de ingeniería social, involucrando mensajes y llamadas que suplantan a entidades bancarias.
  • Permite a los ciberdelincuentes realizar pagos less y retirar dinero de cajeros automáticos con tarjetas clonadas.
Joaquin Romero

9 minutos

En los últimos meses, el mundo de la ciberseguridad ha estado en vilo tras la aparición de un nuevo y sofisticado malware llamado SuperCard X. Esta amenaza ha generado revuelo en la comunidad tecnológica por su capacidad para robar tarjetas de crédito y débito directamente desde dispositivos Android utilizando la tecnología NFC. Si tienes un teléfono Android y usas pagos less, este artículo es esencial para entender cómo funciona esta amenaza, cómo se propaga y, lo más importante, cómo protegerte.

SuperCard X no es solo otro malware más en la larga lista de amenazas móviles; su peligrosidad radica en el modo en que involucra la ingeniería social, la explotación técnica de la comunicación de campo cercano (NFC) y su virtual invisibilidad ante la mayoría de sistemas antivirus. Vamos a desgranar, punto por punto, todos los detalles revelados hasta la fecha sobre esta peligrosa herramienta para que no te pille desprevenido.

¿Qué es SuperCard X y cómo logra robar datos bancarios?

SuperCard X es una variante de malware de tipo Malware-as-a-Service (MaaS) que se dirige específicamente a dispositivos Android. Su objetivo central es interceptar y retransmitir comunicaciones NFC procedentes de tarjetas bancarias less, logrando así robar datos sensibles y permitir compras o retiradas de efectivo fraudulentas, incluso sin necesidad de tener la tarjeta física ni conocer el PIN en muchos casos.

Artículo relacionado:
Cómo compartir el número de teléfono en Android mediante códigos QR y NFC: la guía definitiva

El funcionamiento de SuperCard X es notablemente sofisticado. Engaña a las víctimas para que instalen una aplicación aparentemente legítima (habitualmente bajo el nombre Reader), solicitando únicamente los permisos básicos de al módulo NFC del móvil. De esta forma, el malware permanece prácticamente invisible ante el y los antivirus.

Una vez la víctima instala la aplicación y acerca su tarjeta de pago al móvil, el malware lee todos los datos de la tarjeta less y los transmite en tiempo real a los atacantes. Estos, desde cualquier parte del mundo, pueden emplear otra app llamada Tapper en un dispositivo Android para emular esa tarjeta y realizar transacciones less o retiradas en cajeros automáticos.

La ingeniería social: la llave que abre la puerta

El aspecto técnico de SuperCard X es solo la mitad de la ecuación. La otra mitad tiene que ver con el uso intensivo de técnicas de ingeniería social, donde personas malintencionadas se hacen pasar por bancos u operadores de servicios financieros para conseguir engañar a los s.

  • El ataque normalmente comienza con un mensaje SMS o WhatsApp fraudulento que, simulando ser una comunicación de tu banco, informa de una transacción sospechosa o un problema con tu cuenta.
  • El mensaje te invita a llamar a un número de teléfono con la promesa de obtener ayuda inmediata y resolver el supuesto incidente.
  • Durante la llamada, el estafador se hace pasar por un agente de soporte del banco, solicitando datos como el número de tarjeta, el PIN y, en muchos casos, te indica que elimines el límite de gasto desde la app bancaria oficial.
  • Por último, te pide instalar una supuesta app de verificación o seguridad—Reader—que, en realidad, es el vehículo del malware.

El nivel de personalización y persuasión empleado en estas llamadas es considerable, haciendo que incluso s con experiencia puedan caer en la trampa, especialmente bajo presión o en situaciones de estrés.

Cómo explota SuperCard X la tecnología NFC

NFC (Near Field Communication) es una tecnología de corto alcance presente en la mayoría de los móviles modernos, utilizada para facilitar pagos sin o y transferencias rápidas entre dispositivos. SuperCard X explota esta funcionalidad interceptando la comunicación entre la tarjeta y el lector NFC del teléfono, algo que hasta ahora se consideraba bastante seguro.

El ataque de retransmisión es posible porque la aplicación fraudulenta solicita al módulo NFC, permiso que no suele despertar sospechas ya que apps de pago o lectores de tarjetas también lo piden. Sin embargo, en manos del malware, este permiso permite leer toda la información de la tarjeta cuando se acerca al móvil.

En cuestión de segundos, los datos capturados se envían en tiempo real a una infraestructura de mando y control (C&C) bajo el control de los delincuentes, utilizando conexiones cifradas mediante protocolos seguros como HTTP con TLS o mutual TLS (mTLS), para evitar que sean interceptados por fuerzas de seguridad o investigadores.

De la captura de datos al fraude en tiendas y cajeros

Una vez los atacantes tienen los datos de la tarjeta, utilizan su propia app, Tapper, en otro dispositivo Android. Tapper es capaz de emular digitalmente la tarjeta de la víctima usando la información robada. Así, el delincuente simplemente acerca su teléfono a un terminal de pago o cajero automático compatible con NFC y ejecuta la transacción, como si tuviera en la mano la tarjeta original.

Este proceso es especialmente peligroso porque muchos terminales solo solicitan el PIN a partir de ciertas cantidades, y los atacantes suelen realizar múltiples transacciones pequeñas para pasar desapercibidos. Además, la emulación se basa en el protocolo ATR (Answer to Reset), que hace que los terminales de pago detecten la tarjeta falsa como legítima, elevando la efectividad del fraude y dificultando su detección por parte de bancos y sistemas antifraude.

¿Por qué es tan difícil detectar SuperCard X?

Uno de los aspectos más alarmantes de SuperCard X es su bajísima tasa de detección por parte de los antivirus y soluciones de seguridad móvil. Según el equipo de investigación de Cleafy y los múltiples medios especializados, SuperCard X no es detectado por más de 60 motores antivirus en VirusTotal y la razón principal es su comportamiento poco intrusivo.

  • No solicita permisos de a SMS, llamadas ni ubicación.
  • Evita técnicas agresivas como la superposición de pantalla.
  • Solo pide al NFC, algo habitual en apps legítimas.
  • Utiliza comunicación cifrada y autenticación con certificados digitales, volviéndolo invisible incluso para herramientas de análisis forense.

Este diseño minimalista está enfocado en un único objetivo: robar y retransmitir datos NFC de tarjetas bancarias de la forma más discreta y veloz posible, sin levantar sospechas ni alertas en el dispositivo.

¿A quién afecta SuperCard X y cuál es su alcance?

Aunque los primeros reportes de Cleafy y medios españoles mencionan Italia como principal país afectado, SuperCard X posee un alcance global debido a la venta como servicio (MaaS) en foros clandestinos, especialmente de habla china. Los clientes de este malware no necesitan conocimientos técnicos; simplemente pagan una suscripción y reciben el software, instrucciones y soporte a través de canales como Telegram.

Esto implica que el fraude no está limitado a grandes organizaciones criminales; cualquier delincuente con a estos foros puede lanzar ataques en otros países, incluyendo España y América Latina, donde se emplean masivamente pagos less. Instituciones financieras y tiendas físicas también están en riesgo, ya que los movimientos fraudulentos suelen ser pequeños y, por lo tanto, difícilmente detectables de inmediato.

Similitudes con NGate y otros malwares NFC

Cabe destacar que SuperCard X presenta similitudes con NGate, un malware que ya había causado estragos en Europa el año anterior. Ambos emplean técnicas de retransmisión NFC y son capaces de sortear las barreras tradicionales de los bancos y sistemas antifraude. La existencia de múltiples variantes personalizables de SuperCard X sugiere además una evolución constante, orientada a burlar nuevas medidas de seguridad que los bancos puedan implementar.

El modelo de negocio MaaS hace que los desarrolladores del malware ofrezcan variantes adaptadas a distintas regiones o necesidades específicas de sus clientes, lo que complica aún más la respuesta coordinada de las fuerzas de seguridad y los fabricantes de soluciones de seguridad digital.

Canales de distribución y soporte a ciberdelincuentes

SuperCard X no solo se distribuye a través de campañas de phishing y SMS, sino que también se promociona en canales de Telegram dedicados a cibercrimen. Incluso ofrecen soporte “técnico” para los delincuentes que contratan el servicio, lo que simplifica aún más la puesta en marcha de nuevas campañas maliciosas.

El hecho de que los desarrolladores proporcionen soporte y permitan la personalización a la carta muestra una profesionalización creciente y preocupante en el cibercrimen vinculado al fraude financiero digital.

¿Cómo puedes protegerte de SuperCard X?

Dado el nivel de sofisticación del ataque, protegerse requiere una combinación de prudencia, escepticismo ante mensajes inesperados y buenas prácticas digitales. Aquí tienes algunas recomendaciones clave, extraídas de los consejos de expertos y los informes más recientes:

Artículo relacionado:
NFC en el móvil: qué es, cómo funciona, usos y máxima utilidad
    • No instales nunca aplicaciones fuera de tiendas oficiales como Google Play Store. Las apps maliciosas disfrazadas de “lector de tarjetas” o “verificador de seguridad” suelen provenir de enlaces directos o repositorios no verificados.
    • Desconfía de cualquier mensaje, SMS o WhatsApp, que te inste a llamar a un número para evitar problemas bancarios. Los bancos no suelen pedir información personal mediante canales no oficiales ni solicitar que instales apps externas.
    • No acerques tu tarjeta bancaria al móvil si te lo pide una app no reconocida o recibes instrucciones por teléfono para hacerlo.
    • Revisa de manera frecuente los movimientos en tus cuentas bancarias y ponte en o con tu entidad ante cualquier transacción sospechosa, aunque sea de importe reducido.
    • Mantén actualizado el software del móvil y utiliza soluciones de seguridad actualizadas, aunque en este caso puedan no detectar todos los tipos de malware.
    • Evita aceptar permisos innecesarios en aplicaciones, especialmente si no tienes claro para qué sirven.

Por qué SuperCard X es una amenaza que ha llegado para quedarse

La aparición de SuperCard X marca un antes y un después en el panorama del fraude bancario digital. No solo muestra cómo puede ser aprovechada la tecnología NFC para fines delictivos, sino que expone las debilidades de los sistemas tradicionales de seguridad, tanto a nivel de s como de entidades financieras.

Además, el hecho de que ahora cualquiera pueda acceder a este tipo de herramientas gracias al modelo MaaS y la proliferación de canales clandestinos en Telegram y foros chinos democratiza el al cibercrimen, multiplicando los riesgos para todos los s de banca digital y pagos less.

El avance de amenazas como SuperCard X demuestra la urgente necesidad de aumentar la educación digital, la colaboración entre bancos, tecnológicas y s y el desarrollo de nuevas soluciones de seguridad capaces de anticiparse a la evolución del cibercrimen. Mantenerse bien informado y actuar con escepticismo ante cualquier solicitud extraña es, a día de hoy, la mejor defensa que tenemos frente a este tipo de amenazas. Comparte esta guía para que más personas conozcan esta amenaza.


Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.