El equipo de investigación de ESET, compañía dedicada a la detección proactiva de amenazas digitales, descubrió una nueva variante de malware que afecta a una aplicación legítima de Android llamada HandyPay.
Los ciberdelincuentes utilizaron esta app que se utiliza para transmitir datos NFC (Comunicación de Campo Cercano en español), una tecnología que permite la comunicación de corto alcance entre dos dispositivos inalámbricos de manera cómoda y rápida.
Con un código malicioso que habría sido generado por IA, la estafa rápidamente comienza a desplazarse en países de América Latina.
Te podría interesar: Tres señales de que hackearon tu teléfono móvil
Con esta estafa, los atacantes logran transferir datos NFC desde la tarjeta de pago de la víctima hacia su propio dispositivo y utilizarlos para extracciones de efectivo en cajeros automáticos sin contacto y para pagos no autorizados.
Además, el código también puede capturar el PIN de la tarjeta de pago de la víctima y exfiltrar hacia el servidor de los operadores. Para troyanizar HandyPay, los actores de amenaza muy probablemente utilizaron GenAI, lo cual se evidencia por un emoji dejado en los logs, típico de texto generado por IA.
ESET sospecha que la campaña que distribuye este «virus» comenzó alrededor de noviembre de 2025 y que continúa activa. También es importante destacar que la versión de HandyPay parcheada maliciosamente nunca estuvo disponible en la tienda oficial de Google Play.
¿Cómo funciona la app?
HandyPay es una aplicación de Android que está disponible en Google Play desde 2021.
Permite retransmitir datos NFC de un dispositivo a otro, lo que puede utilizarse para compartir una tarjeta con un familiar, permitir que un hijo realice una compra única, entre otros casos. Los datos se leen primero en el dispositivo del titular de la tarjeta y luego se comparten con un dispositivo vinculado.
Después de que los usuarios vinculan sus cuentas por correo electrónico, el titular de la tarjeta escanea su tarjeta de pago mediante NFC, momento en el cual los datos cifrados se transfieren a través de internet al dispositivo emparejado.
Ese dispositivo puede entonces ejecutar acciones de tap‑to‑pay utilizando la tarjeta del titular original. Para que el proceso funcione, los usuarios deben establecer HandyPay como la aplicación de pago predeterminada e iniciar sesión con Google o mediante un token basado en correo electrónico.
