Un solo toque... y adiós a tu dinero: la SuperCard X china roba datos bancarios a través de NFC

Especialistas de la empresa Cleafy, dedicada a la seguridad en dispositivos móviles, han revelado los detalles de un nuevo esquema criminal que amenaza a los titulares de tarjetas bancarias. Los delincuentes han creado la plataforma SuperCard X, que opera bajo el modelo de “malware como servicio” y permite robar datos a través del módulo NFC del teléfono inteligente, para luego realizar operaciones en tiendas físicas y cajeros automáticos.

La investigación reveló que detrás del desarrollo están actores vinculados a China. Al analizar el código del programa, los expertos detectaron un claro parecido con el proyecto de código abierto NFCGate y su versión maliciosa NGate. Esta última se ha usado activamente durante más de un año en ataques en varios países europeos, lo que confirma la continuidad en el uso de tecnologías delictivas.

La distribución de SuperCard X se organiza a través de canales en Telegram, donde se ofrece no solo el producto, sino también soporte técnico directo. La magnitud de la amenaza se confirma con numerosos casos documentados del uso de este malware en Italia. Al estudiar decenas de variantes con pequeñas diferencias, Cleafy concluyó que los autores están dispuestos a adaptar el producto a regiones específicas o necesidades particulares de sus clientes.

El ataque comienza con un mensaje falso supuestamente enviado por el banco de la víctima a través de SMS o WhatsApp. En él se alerta sobre una operación sospechosa y se insta a llamar urgentemente a un número para resolver el problema. En esta etapa, los estafadores buscan generar sensación de urgencia, para que la víctima actúe sin reflexionar.

Cuando el titular de la tarjeta llama al número, le contesta un impostor que se hace pasar por agente de atención al cliente. Mediante ingeniería social, le extrae el número de tarjeta y el PIN, bajo el pretexto de “verificar la identidad”. A continuación, el delincuente intenta convencer a la víctima de que elimine los límites de operación desde la app del banco, lo que amplía considerablemente el margen para el robo.

El siguiente paso es la instalación de una aplicación especial llamada Reader, disfrazada como herramienta de seguridad o verificación. Es en esta app donde se encuentra el código malicioso de SuperCard X. Los desarrolladores mostraron gran ingenio: el programa solicita solo permisos mínimos —principalmente acceso al módulo NFC—, lo que reduce las sospechas del usuario. Sin embargo, este acceso basta para ejecutar el robo.

Siguiendo las instrucciones del falso empleado del banco, la víctima acerca su tarjeta al teléfono para “verificarla”. En ese momento, se activa el proceso de lectura del chip y la información se envía de inmediato a los atacantes. En su dispositivo Android, estos utilizan una segunda aplicación —Tapper— que genera una copia virtual de la tarjeta robada a partir de los datos capturados.

Estos “clones digitales” permiten realizar pagos sin contacto en tiendas y retirar dinero en cajeros. A pesar de las restricciones de monto, detectar y revertir estas operaciones es sumamente difícil: se procesan de inmediato y resultan completamente legítimas para los sistemas bancarios.

El malware se basa en el protocolo ATR (Answer to Reset), un mecanismo estándar que se activa cada vez que una tarjeta se conecta a un terminal. Cuando el terminal envía una señal de reinicio, la tarjeta debe responder con un código específico que confirme su autenticidad. SuperCard X ha aprendido a imitar perfectamente estas respuestas: el programa genera secuencias de bytes idénticas a las de una tarjeta real.

El peligro aumenta debido a los sofisticados mecanismos de ocultamiento del malware. En el momento del análisis, ningún motor antivirus en la plataforma VirusTotal pudo detectar la amenaza. La ausencia de solicitudes de permisos sospechosos y de funciones agresivas como superposiciones en pantalla permite evadir incluso los análisis heurísticos de los sistemas de seguridad.

Para protegerse de investigadores y autoridades, SuperCard X incorpora un complejo sistema de autenticación bidireccional basado en certificados TLS. Esto garantiza el cifrado fiable del intercambio de datos entre el malware y los servidores de control, dificultando enormemente su análisis.

En respuesta a una consulta de periodistas, un representante de Google declaró que no hay aplicaciones con este código malicioso en la tienda oficial Google Play. Además, recalcó que los usuarios de Android están protegidos por defecto mediante Google Play Protect, que advierte sobre riesgos o bloquea aplicaciones sospechosas, incluso si se instalan desde fuentes externas.