Volver al Hub

NGate y Cellik MaaS: Los dos frentes de la guerra del malware financiero en Android

Imagen generada por IA para: NGate y Cellik MaaS: Los dos frentes de la guerra del malware financiero en Android

El campo de batalla de la seguridad móvil ya no está definido por amenazas dispersas y amateur. Ha surgido una nueva era de cibercrimen profesionalizado y motivado económicamente, con los usuarios de Android directamente en el punto de mira. Dos campañas recientes—la estafa altamente dirigida de NGate en cajeros automáticos y la plataforma comercializada Cellik de Malware-as-a-Service (MaaS)—ejemplifican esta peligrosa evolución, mostrando un asalto de doble frente que combina un descarado engaño social con una sofisticación técnica escalable.

La estafa NGate: Un ataque híbrido físico-digital

La operación NGate representa una aterradora fusión entre el engaño en el mundo real y el robo digital. Los atacantes se acercan físicamente a víctimas potenciales, a menudo en las inmediaciones de cajeros automáticos o centros bancarios, bajo un pretexto ingenioso. Pueden hacerse pasar por empleados bancarios, buenos samaritanos que ofrecen ayuda o individuos que necesitan asistencia con una transacción. El núcleo de la estafa aprovecha la tecnología de Comunicación de Campo Cercano (NFC), una función común en los teléfonos inteligentes modernos para pagos sin contacto.

El actor de la amenaza convence a la víctima para que desbloquee su teléfono y active el NFC. Utilizando un paquete de aplicación maliciosa (APK) de Android almacenado en el propio dispositivo del atacante, inician entonces una transferencia de archivos encubierta mediante "Android Beam" o una transferencia similar basada en NFC. El teléfono de la víctima muestra una solicitud para aceptar la transferencia, que a menudo se enmarca como una "actualización de seguridad", un "certificado bancario" o un "complemento necesario" para resolver un problema ficticio. Una vez instalado, el malware opera con permisos extensivos, explotando frecuentemente los servicios de accesibilidad para obtener un punto de apoyo profundo y persistente.

La función principal del payload es la toma de control remota de cuentas. Puede interceptar contraseñas de un solo uso (OTP) por SMS, realizar ataques de superposición (overlay) para robar credenciales de inicio de sesión y, lo más crítico, iniciar transacciones fraudulentas directamente desde las aplicaciones bancarias de la víctima, todo mientras el teléfono de la víctima parece normal. Este método permite a los criminales vaciar cuentas sin necesidad de la tarjeta física o el PIN de la víctima, lo que marca un cambio significativo respecto al tradicional skimming de tarjetas.

Cellik MaaS: Democratizando el espionaje en Android

Mientras que NGate depende de la interacción humana directa, la amenaza Cellik opera en las sombras del mercado digital. Es una plataforma completa de Malware-as-a-Service ofrecida en foros clandestinos, que permite a cibercriminales con conocimientos técnicos mínimos crear y distribuir spyware potente. El modelo de negocio es de suscripción, lo que reduce la barrera de entrada para el fraude financiero y el robo de datos.

El sello distintivo de Cellik es su capacidad para generar clones casi perfectos de aplicaciones legítimas y populares. Los atacantes que utilizan la plataforma pueden tomar el nombre del paquete, el icono y la interfaz de usuario de una aplicación confiable—como una aplicación de servicios gubernamentales, un proveedor de servicios públicos o un servicio regional popular—y envolverla alrededor de un núcleo malicioso. Estas aplicaciones trojanizadas se distribuyen luego a través de enlaces de phishing, anuncios falsos en redes sociales, tiendas de aplicaciones de terceros o incluso descargas directas, eludiendo el escrutinio de Google Play Protect al hacerse pasar por software familiar.

Una vez instalada, la aplicación clonada solicita un conjunto peligroso de permisos. Sus capacidades son extensas: registro de pulsaciones de teclas, captura de pantallas, grabación de audio a través del micrófono, recolección de contactos y mensajes, y seguimiento de la ubicación. Estos datos se exfiltran a un servidor de comando y control (C2) controlado por el cliente del MaaS, quien luego puede monetizar la información robada mediante fraude directo, robo de identidad o venta en la dark web. La plataforma Cellik representa la industrialización del malware móvil, creando una cadena de suministro para el espionaje.

La conexión APT: Kimsuky y el phishing por QR

Añadiendo una capa de complejidad geopolítica a este panorama, los grupos de Amenazas Persistentes Avanzadas (APT) están adoptando vectores de distribución similares para sus propios fines. El grupo Kimsuky, vinculado a Corea del Norte (también rastreado como APT43 o Emerald Sleet), ha sido observado realizando campañas utilizando phishing con código QR o "quishing". En estos ataques, los objetivos reciben correos electrónicos de phishing que se hacen pasar por servicios de mensajería u otras entidades confiables. Los correos contienen un código QR que, cuando es escaneado por un dispositivo móvil, redirige al usuario a un sitio malicioso que solicita la descarga de un APK malicioso, como el malware "DocSwap".

Esta táctica elude los filtros de seguridad de correo electrónico tradicionales, que a menudo no escanean imágenes o códigos QR en busca de amenazas. Si bien los objetivos de Kimsuky son típicamente el espionaje y la recopilación de inteligencia en lugar del robo financiero directo, su adopción de estas técnicas centradas en el móvil subraya su efectividad y el desdibujamiento de las líneas entre el cibercrimen motivado económicamente y la actividad patrocinada por el estado.

Análisis e implicaciones para la ciberseguridad

El auge simultáneo de la estafa NGate y la plataforma Cellik MaaS revela tendencias críticas en el panorama de amenazas móviles:

  1. Profesionalización y especialización: Los ecosistemas del cibercrimen ahora presentan roles claros—desde desarrolladores (creadores de MaaS) hasta distribuidores (afiliados) y operadores de primera línea (estafadores de NGate).
  2. Convergencia multi-vector: Los ataques combinan a la perfección la ingeniería social física y digital (NGate), la distribución automatizada (Cellik) y los mecanismos de entrega evasivos (phishing por QR).
  3. Explotación de la confianza implícita: Ambas amenazas explotan la confianza fundamental—confianza en una persona que está a tu lado (NGate) y confianza en el icono y el nombre de una aplicación conocida (Cellik).
  4. Abuso de funciones principales: Características legítimas de Android como el NFC, los servicios de accesibilidad y la instalación de orígenes desconocidos (side-loading) son weaponizadas para permitir la instalación y persistencia del malware.

Recomendaciones de defensa

Para organizaciones y profesionales de seguridad:

  • La concienciación del usuario es primordial: Realice formación centrada en estas tácticas específicas de ingeniería social. Enfatice que ningún empleado bancario legítimo le pedirá nunca que maneje su teléfono o inicie una transferencia por NFC.
  • Implemente soluciones de defensa contra amenazas móviles (MTD): Despliegue soluciones que puedan detectar comportamientos maliciosos posteriores a la instalación, como el abuso de servicios de accesibilidad o la comunicación con servidores C2 conocidos, que el escaneo basado en firmas podría pasar por alto.
  • Promueva las tiendas oficiales y restrinja la instalación de orígenes desconocidos: Aplique políticas que restrinjan la instalación de aplicaciones únicamente a tiendas de aplicaciones oficiales (Google Play, tiendas empresariales gestionadas), especialmente en dispositivos corporativos gestionados.
  • Monitoree indicadores de MaaS: Los equipos de búsqueda de amenazas (threat hunting) deben buscar patrones asociados con malware generado por MaaS, como nombres de paquetes clonados de aplicaciones populares o solicitudes de permisos sospechosas de aplicaciones poco probables.

Para usuarios individuales:

  • Desactive el NFC por defecto y actívelo solo cuando vaya a realizar un pago de confianza.
  • Nunca acepte transferencias de archivos ni instale aplicaciones de desconocidos, independientemente del pretexto.
  • Examine los permisos de las aplicaciones de manera crítica. Pregúntese por qué una simple aplicación de linterna necesita acceso a sus SMS o contactos.
  • Evite hacer clic en enlaces o escanear códigos QR de correos electrónicos o mensajes no solicitados, incluso si parecen provenir de servicios conocidos.

Conclusión

La estafa NGate y la plataforma Cellik MaaS no son incidentes aislados; son sintomáticos de una industria criminal madura y orientada a las ganancias que ha abrazado por completo el canal móvil. Demuestran que la amenaza es tanto dirigida como amplia, lo que requiere una postura defensiva que combine una mayor vigilancia del usuario, controles técnicos robustos y una inteligencia de amenazas continua. A medida que los pagos por NFC y la banca móvil se vuelven omnipresentes, comprender y mitigar estas amenazas híbridas físico-digitales y de software comercializado es primordial para la seguridad de las finanzas individuales y los datos corporativos.

Fuente original: Ver Fuentes Originales
NewsSearcher Agregación de noticias con IA
Publicado: 18/12/2025 Seguridad Móvil

Comentarios 0

¡Únete a la conversación!

Sé el primero en compartir tu opinión sobre este artículo.