La comunidad de ciberseguridad ha puesto el foco en NGate, un malware para Android capaz de clonar tarjetas mediante NFC y retransmitir esos datos a los atacantes para sacar dinero en cajeros o pagar en TPV. A raĆz de distintas investigaciones, se han observado campaƱas activas con suplantaciones muy convincentes de tiendas y apps bancarias, lo que convierte a NGate en una amenaza especialmente traicionera para usuarios de banca mĆ³vil.
Este software malicioso se ha utilizado en operaciones detectadas en Chequia y, mĆ”s recientemente, en Brasil, con tĆ”cticas combinadas de smishing, ingenierĆa social y distribuciĆ³n mediante apps web progresivas (PWA/WebAPK) y pĆ”ginas que imitan a Google Play. Aunque el vector cambia de una campaƱa a otra, el objetivo se mantiene: capturar datos NFC y PIN de tarjetas para ejecutar reintegros en cajeros sin la tarjeta fĆsica.
ĀæQuĆ© es NGate y por quĆ© es tan peligroso?
NGate es un malware especĆfico de Android diseƱado para el fraude financiero. Su capacidad estrella es abusar de la comunicaciĆ³n de campo cercano (NFC) para copiar los datos de una tarjeta bancaria y emularla desde otro dispositivo en manos del atacante, que despuĆ©s puede retirar efectivo o realizar pagos sin contacto.
Investigaciones previas detallaron su uso contra clientes de tres bancos checos (incluidos Czech Raiffeisenbank y ÄSOB) y la existencia de al menos seis variantes con aspecto adaptado a cada entidad. En paralelo, informes recientes describen una campaƱa orientada a usuarios brasileƱos con suplantaciones muy trabajadas de bancos y apps de comercio electrĆ³nico.
Este malware no figuraba en la tienda oficial de Google: NGate no se distribuĆa en Google Play. En su lugar, los delincuentes recurrieron a WebAPK y PWA, asĆ como a pĆ”ginas falsas que imitaban la estĆ©tica de la Play Store, aumentando el engaƱo con una experiencia de āinstalaciĆ³nā muy similar a la legĆtima.
Una vez en el dispositivo, NGate puede pedir al usuario que active NFC e introduzca el PIN, guiĆ”ndole con pantallas que simulan procesos bancarios reales. Al capturar esa informaciĆ³n, queda todo listo para emular la tarjeta a distancia y operar en cajeros automĆ”ticos o TPV, a veces con la posibilidad de alterar lĆmites de retirada si el fraude lo requiere.
Es relevante subrayar que la vĆctima no necesita root en su telĆ©fono. El dispositivo del atacante, sin embargo, suele estar rooteado para ejecutar con libertad las herramientas de retransmisiĆ³n NFC. A nivel de detecciones, distintos proveedores han clasificado muestras como Android/Spy.NGate.B o Android/Spy.NGate.BD, ademĆ”s de heurĆsticas como āHEUR:Trojan-Banker.AndroidOS.NGate.aā.
CampaƱas y alcance: de Chequia a Brasil
Los operadores de NGate han combinado smishing, ingenierĆa social y apps web desde al menos noviembre de 2023 en Chequia, primero con PWA/WebAPK y, a partir de marzo de 2024, con una evoluciĆ³n que ya desplegaba el propio troyano para Android. Esta trayectoria se ha visto reflejada en informes tĆ©cnicos que conectan fases y herramientas.
En LatinoamĆ©rica, investigaciones en 2025 han documentado una campaƱa focalizada en Brasil que recurre a sitios que parecen Google Play Store y replican la identidad visual de cuatro grandes bancos (Santander, Banco do Brasil, ItaĆŗ y Bradesco) y de la plataforma de comercio Mercado Livre. El objetivo, como antes, es lograr la instalaciĆ³n de una app maliciosa con capacidades de clonaciĆ³n NFC.
En esa campaƱa destaca que la app maliciosa emplea el mismo nombre de paquete observado en variantes previas: com.billy.cardemv. Esa coincidencia vincula las piezas con familias como NGate y PhantomCard utilizadas ya en ataques anteriores, lo que indica continuidad y adaptaciĆ³n al pĆŗblico brasileƱo.
TambiĆ©n se ha reportado que la amenaza, inicialmente reconocida en Europa, se detectĆ³ despuĆ©s en AmĆ©rica Latina, con registros especĆficos en Brasil. En algunos casos, el robo de efectivo se ha materializado en la misma regiĆ³n; en otros, los actores han sido detenidos durante reintegros en cajeros tras emular tarjetas conseguidas con la trampa de NGate.
Mecanismo de funcionamiento (de la infecciĆ³n al efectivo)
El plan delictivo combina varios pasos que, unidos, conforman un ataque novedoso en el ecosistema Android. A continuaciĆ³n, se resume su flujo con los hitos clave, donde la retransmisiĆ³n NFC es el elemento diferencial:
1. InfecciĆ³n inicial mediante phishing
Todo suele arrancar con un SMS de cebo que habla de temas cotidianos (como una declaraciĆ³n de la renta o incidencias en la cuenta), invitando a abrir un enlace. Esa URL redirige a una web fraudulenta que imita al banco o a Google Play, desde la que la vĆctima descarga y āinstalaā la supuesta app legĆtima.
2. InstalaciĆ³n de aplicaciones maliciosas
Los atacantes explotan PWA o WebAPK para dar apariencia nativa a su aplicaciĆ³n impostora. En los casos mĆ”s avanzados, el paquete con capacidades NGate se instala en el telĆ©fono, camuflado con el icono y los colores del banco objetivo, para pasar desapercibido.
3. RecopilaciĆ³n de datos
Al abrir la app trampa, se solicita introducir credenciales bancarias y otros datos personales, ademĆ”s de activar NFC. Se recaban informaciĆ³n de la tarjeta (PAN, fecha de caducidad, PIN si el usuario lo teclea), identificadores del dispositivo y elementos de identificaciĆ³n personal.
4. ExplotaciĆ³n de NFC mediante NFCGate
NGate incorpora o se apoya en NFCGate, una herramienta acadĆ©mica publicada por el Secure Mobile Networking Lab de la Technical University of Darmstadt (Alemania). NFCGate permite capturar y retransmitir el trĆ”fico NFC desde un mĆ³vil a otro a travĆ©s de un servidor intermedio.
5. Captura y retransmisiĆ³n de datos
La vĆctima coloca la tarjeta junto al telĆ©fono siguiendo las indicaciones de la āapp del bancoā. El malware snifa el intercambio NFC y lo manda al servidor de mando y control (C2) o directamente a un dispositivo del atacante preparado para emular la tarjeta en tiempo real.
6. Transacciones no autorizadas
Con la tarjeta emulada en su mĆ³vil, el delincuente puede realizar reintegros en cajeros contactless o pagar en terminales de punto de venta. Si la vĆa NFC falla, hay un plan B: el desvĆo de fondos mediante transferencias bancarias, una alternativa menos deseable para los atacantes por ser mĆ”s rastreable.
Indicadores de compromiso (IoC)
Para facilitar la detecciĆ³n y el bloqueo, se han publicado diversos IoC asociados a estas campaƱas. Entre ellos figuran dominios, hashes y nombres de detecciĆ³n vinculados a muestras y a la infraestructura usada para el engaƱo:
- Detecciones: Android/Spy.NGate.B, Android/Spy.NGate.BD; HEUR:Trojan-Banker.AndroidOS.NGate.a (entre otras de distintos proveedores).
- Hash observado: 223D7AA925549C9C657C017F06CF7C19595C2CEE.
- Dominios suplantadores (alojados en servicios de pƔginas): googleplay-santander.pagesdev, googleplay-bb.pagesdev, googleplay-itau.pagesdev, googleplay-mercadolivre.pagesdev, googleplay-bradesco.pagesdev.
- Infraestructura adicional: 5a341dc1-98f9-4264-859a-e8bc6d236024-00-1vfeomyys26m9.janeway.replitdev.
- Paquete repetido en varias variantes: com.billy.cardemv.
Si trabajas en equipos de respuesta, conviene nutrir listas de bloqueo y SIEM con estos indicadores y las resoluciones vinculadas, y pivotar desde ellos para cazar nuevas iteraciones.
CĆ³mo se propaga NGate: tĆ”cticas de distribuciĆ³n
La entrada habitual en el dispositivo es el smishing (SMS con enlaces maliciosos), combinado con llamadas de ingenierĆa social en las que los actores se hacen pasar por soporte del banco para āverificarā operaciones y forzar al usuario a introducir el PIN o apoyar la tarjeta en el mĆ³vil.
AdemĆ”s del SMS, los delincuentes emplean canales como correo electrĆ³nico con adjuntos o enlaces, mensajes directos en redes sociales, anuncios maliciosos, descargas no autorizadas, repositorios de software no oficiales, redes P2P, contenido pirateado, ācracksā y actualizaciones falsas que pueden incluir instaladores del malware.
En algunos escenarios, familias de malware son capaces de autopropagarse en redes locales o a travĆ©s de dispositivos extraĆbles (tarjetas SD, memorias USB), lo que obliga a extremar las precauciones si se comparten recursos entre dispositivos.
SĆntomas, daƱos y riesgos
NGate estĆ” pensado para operar con bajo nivel de ruido, por lo que, en muchos casos, no hay seƱales claras de infecciĆ³n mĆ”s allĆ” de comportamientos sutiles (actividad de red, consumo inusual). El impacto, sin embargo, es alto: pĆ©rdida de dinero, exposiciĆ³n de datos personales y riesgo de suplantaciĆ³n.
Dado que la tƩcnica permite emular tarjetas y realizar transacciones sin contacto, el usuario puede no enterarse hasta ver los movimientos en su extracto. Por eso es clave la vigilancia de notificaciones del banco y activar alertas de actividad en cajeros y TPV, especialmente si se usa NFC a menudo.
DetecciĆ³n y eliminaciĆ³n: quĆ© puedes hacer
Si sospechas de una infecciĆ³n, ejecuta un anĆ”lisis con una soluciĆ³n antivirus reputada. Algunas guĆas de limpieza recomiendan usar productos como Combo Cleaner (requiere licencia para funciones completas; tiene prueba limitada de 7 dĆas), que puede detectar y desinstalar muchas variantes conocidas.
Un escaneo completo del sistema es esencial porque el malware avanzado suele esconderse profundamente en el dispositivo. Tras la desinfecciĆ³n, valora rotar credenciales bancarias y revisar movimientos con tu entidad para bloquear fraudes en curso.
Para ampliar: hay anĆ”lisis tĆ©cnicos previos sobre riesgos crecientes de ataques NFC en Android y la importancia de descargar apps desde tiendas oficiales. Conviene revisarlos si gestionas flotas o haces hardening de mĆ³viles.
Algunos CSIRT financieros han emitido alertas resumidas e invitan a afiliarse para acceder al detalle de correlaciĆ³n, mitigaciĆ³n y seguimiento. En uno de ellos se facilita el correo para contacto directo con el equipo.
GuĆa rĆ”pida en Android: higiene, ajustes y restauraciĆ³n
Chrome: borra el historial y datos de navegaciĆ³n
Abre el menĆŗ de Chrome (tres puntos), entra en Historial y elige Borrar datos de navegaciĆ³n. En la pestaƱa Avanzado, selecciona el intervalo temporal y los tipos de datos que quieras purgar, y confirma en Borrar datos.
Chrome: desactiva notificaciones molestas
Ve a ConfiguraciĆ³n > ConfiguraciĆ³n del sitio > Notificaciones. Localiza los sitios que envĆan avisos al navegador y pulsa en Borrar y restablecer. Si vuelves a visitarlos, podrĆ”n solicitar permiso otra vez.
Chrome: restablece la app
En Ajustes del sistema > Aplicaciones > Chrome > Almacenamiento, entra en Administrar almacenamiento, pulsa Borrar todos los datos y confirma. Recuerda que se perderĆ”n inicios de sesiĆ³n, historial y preferencias no predeterminadas.
Firefox: elimina el rastro
Abre el menĆŗ (tres puntos), entra en Historial y toca Borrar datos privados. Marca lo que quieras borrar y confirma con BORRAR DATOS para limpiar el navegador.
Firefox: corta las notificaciones
Visita el sitio que lanza los avisos, toca el icono junto a la URL, pulsa Editar configuraciĆ³n del sitio, elige Notificaciones y confirma en BORRAR para retirar los permisos.
Firefox: restablece la app
En Ajustes del sistema > Aplicaciones > Firefox > Almacenamiento, pulsa BORRAR DATOS y confirma. Igual que en Chrome, se perderƔn sesiones, historial y ajustes personalizados.
Desinstala apps sospechosas
En Ajustes > Aplicaciones, revisa la lista y desinstala lo que no reconozcas o no uses. Si no te deja, prueba el Modo seguro para retirar aplicaciones rebeldes que bloquean su propia eliminaciĆ³n.
Arranca en Modo seguro
MantĆ©n pulsado el botĆ³n de encendido, toca Apagar y vuelve a mantener pulsado el icono para que aparezca Modo seguro. Reinicia en ese modo y elimina apps maliciosas que se resisten.
Comprueba el consumo de baterĆa
En Ajustes > Mantenimiento del dispositivo > BaterĆa, revisa el uso por aplicaciĆ³n. Un gasto elevado y sostenido sin explicaciĆ³n puede delatar actividad maliciosa.
Vigila el uso de datos
En Ajustes > Conexiones > Uso de datos, examina tanto datos mĆ³viles como WiāFi. TrĆ”fico inusual de apps que no usas puede seƱalar exfiltraciĆ³n.
Instala las Ćŗltimas actualizaciones
En Ajustes > ActualizaciĆ³n de software, pulsa Descargar actualizaciones manualmente y aplica los parches disponibles. Activa tambiĆ©n Descargar actualizaciones automĆ”ticamente para mantenerte al dĆa.
Valora restablecimientos
En Ajustes > Acerca del telĆ©fono > Restablecer, puedes restablecer solo opciones del sistema, solo la red o realizar un restablecimiento de fĆ”brica. Ojo: este Ćŗltimo borra por completo el contenido del dispositivo.
Revisa apps con privilegios de administrador
En Ajustes > Pantalla de bloqueo y seguridad > Otros ajustes de seguridad > Aplicaciones de administrador del dispositivo, desactiva cualquier app que no deba tener permisos de administraciĆ³n.
Preguntas frecuentes
ĀæHace falta formatear el almacenamiento para erradicar NGate? En la mayorĆa de casos, no. Con una limpieza cuidadosa, desinstalaciĆ³n y un buen antivirus suele bastar para dejar el dispositivo limpio.
ĀæQuĆ© daƱos puede causar NGate? AdemĆ”s de vaciar cuentas mediante reintegros y pagos contactless, puede acarrear violaciones de privacidad y dar pie al robo de identidad por exposiciĆ³n de datos.
ĀæCuĆ”l es la motivaciĆ³n principal? Predomina el lucro econĆ³mico, aunque, como con otros malware, tambiĆ©n existen casos por diversiĆ³n, venganza, hacktivismo o fines polĆticos.
ĀæCĆ³mo se cuela en Android? Sobre todo por smishing y llamadas de ingenierĆa social, pero tambiĆ©n a travĆ©s de canales clĆ”sicos: spam, descargas no autorizadas, repositorios de terceros, P2P, cracks, actualizaciones falsas e incluso propagaciĆ³n en redes locales o medios extraĆbles.
ĀæSirve Combo Cleaner para protegerme? Puede detectar y eliminar muchas infecciones conocidas de Android; es clave ejecutar un escaneo completo porque las amenazas avanzadas suelen esconderse en profundidad.
Claves tƩcnicas y operativas destacadas
- No disponible en Google Play: las campaƱas emplean PWA/WebAPK y pƔginas que imitan la tienda.
- Cadena de ataque novedosa: phishing + ingenierĆa social + retransmisiĆ³n NFC con NGate/NFCGate.
- Ćmbito de operaciĆ³n: actividad documentada desde 2023 en Chequia; nuevas campaƱas en Brasil.
- Sin root en la vĆctima: el telĆ©fono del atacante suele estar rooteado; la vĆctima no lo necesita.
Los hallazgos muestran que NGate explota a fondo la pila NFC de Android con ayuda de NFCGate, un proyecto acadĆ©mico disponible en GitHub cuyo fin original era la investigaciĆ³n (capturar, analizar y manipular trĆ”fico NFC), pero que aquĆ se emplea de forma indebida para fraudes en cajeros. La combinaciĆ³n con tĆ”cticas sociales ādonde se instruye a la vĆctima para apoyar la tarjeta en el mĆ³vil y teclear el PINā facilita que el ataque se complete en tiempo real, duplicando la tarjeta hacia el dispositivo del atacante y permitiĆ©ndole retirar efectivo en cuestiĆ³n de minutos. Ante cualquier indicio, conviene activar protocolos de respuesta, coordinarse con el banco, cambiar credenciales y reforzar hĆ”bitos de descarga y navegaciĆ³n segura para cerrar la puerta a futuras infecciones.
