Cómo eliminar el troyano bancario PhantomCard/NFCShare de Android

¿Qué es PhantomCard/NFCShare?

PhantomCard y NFCShare son dos nombres asignados por investigadores para el mismo troyano bancario de Android, que utiliza ataques de retransmisión NFC para robar datos de tarjetas de pago sin contacto y PINs. ThreatFabric nombró la variante dirigida a Brasil como PhantomCard; D3Lab nombró la variante dirigida a Italia como NFCShare. Ambos son variantes regionales de la misma familia china de Malware-as-a-Service conocida como NFU Pay.

Descripción general del malware PhantomCard/NFCShare

PhantomCard/NFCShare se basa en ataques de retransmisión NFC. Una vez instalada, la aplicación maliciosa presenta una pantalla falsa de verificación de tarjeta que indica a la víctima que acerque su tarjeta de pago sin contacto a la parte trasera de su teléfono. En segundo plano, captura silenciosamente los datos de la tarjeta a través del lector NFC integrado del dispositivo.

La pantalla falsa imita una verificación de seguridad bancaria genuina, guiando a la víctima a través de tres pasos: sostener la tarjeta cerca del teléfono, esperar a que sea detectada y luego introducir un PIN. Las indicaciones se asemejan mucho a los flujos reales de verificación bancaria, y muchas víctimas las siguen sin sospechar que algo está mal.

Una vez capturados los datos de la tarjeta y el PIN, se envían en tiempo real a través de una conexión WebSocket a servidores controlados por los atacantes. Un delincuente en el otro extremo utiliza una aplicación complementaria para emular la tarjeta de la víctima en su propio dispositivo.

Con esa tarjeta emulada, el atacante puede realizar pagos sin contacto no autorizados en terminales de punto de venta o retirar efectivo en cajeros automáticos. La tarjeta física de la víctima nunca sale de sus manos, pero su dinero puede ser robado mientras la tarjeta sigue cerca.

El malware ha aparecido en dos campañas regionales distintas. En Brasil, ThreatFabric lo documentó como PhantomCard, haciéndose pasar por una aplicación de «Protección de Tarjeta» distribuida a través de páginas falsas de Google Play Store con reseñas de usuarios fabricadas. En Italia, D3Lab lo documentó como NFCShare, propagado a través de sitios de phishing que suplantaban a Deutsche Bank Italia, los cuales instruyen a los visitantes a descargar un archivo APK como una supuesta actualización de la aplicación bancaria.

Internamente, ambas versiones comparten la misma base de código de retransmisión NFC, la misma interfaz de usuario orientada a la víctima (traducida al idioma local) y una ofuscación de cadenas similar. ThreatFabric atribuye la plataforma a NFU Pay, una oferta china de Malware-as-a-Service que permite a los operadores crear versiones personalizadas dirigidas a regiones específicas con sus propios señuelos bancarios.

El malware apunta a datos de tarjetas de pago EMV, y la versión NFCShare utiliza cifrado XOR a través de NPStringFog para ocultar la dirección de su servidor de las herramientas de seguridad. También contiene cadenas incrustadas en idioma chino consistentes con el mismo kit de herramientas.

Cabe mencionar que los desarrolladores de malware a menudo mejoran su software y metodologías, por lo que versiones futuras podrían añadir nuevas capacidades. En resumen, la presencia de PhantomCard/NFCShare en un dispositivo puede provocar graves pérdidas financieras, serios problemas de privacidad y robo de identidad.

Ejemplos de troyanos bancarios

Ejemplos de otros troyanos bancarios para Android incluyen Massiv, Sturnus y Klopatra. Al igual que PhantomCard/NFCShare, las amenazas de este tipo explotan la confianza en interfaces bancarias familiares para llevar a cabo robos sin que la víctima se dé cuenta de que algo está mal.

Independientemente de la variante, el resultado final es el mismo: credenciales de pago robadas, transacciones no autorizadas y cuentas vaciadas. Mantenerse alerta ante solicitudes de descarga de aplicaciones no oficiales es una de las defensas más eficaces.

¿Cómo se infiltró PhantomCard/NFCShare en mi dispositivo?

PhantomCard/NFCShare llega a las víctimas a través de campañas adaptadas a países específicos. En Brasil, se propaga a través de páginas falsas de Google Play Store que suplantan una aplicación legítima, con reseñas de usuarios fabricadas. Las víctimas que descargan e instalan el APK de esas páginas otorgan sin saberlo al troyano acceso al hardware NFC de su dispositivo.

En Italia, el mismo malware se distribuye a través de sitios de phishing que imitan a Deutsche Bank Italia. Estos sitios presionan a los visitantes para que descarguen un archivo APK descrito como una actualización obligatoria de la aplicación bancaria, utilizando tácticas de phishing para forzar una instalación no oficial fuera de la tienda de aplicaciones.

Los troyanos bancarios de este tipo también se propagan a través de enlaces en mensajes SMS, publicaciones en redes sociales y tiendas de aplicaciones de terceros. Cualquier aplicación que deba descargarse a través de un enlace del navegador en lugar de la Google Play Store oficial debería tratarse con gran sospecha.

¿Cómo evitar la instalación de malware?

Descargue aplicaciones únicamente desde la Google Play Store oficial o directamente desde el sitio web verificado de su banco. Los bancos legítimos no piden a sus clientes que instalen actualizaciones de aplicaciones descargando un archivo APK a través de un enlace en un SMS o en una página web no oficial.

Mantenga Android y todas las aplicaciones instaladas actualizadas y utilice una herramienta de seguridad móvil de confianza. Si alguna aplicación le pide que acerque su tarjeta de pago a su teléfono o introduzca su PIN fuera de la aplicación oficial de su banco, deténgase inmediatamente y contacte a su banco a través de su número oficial para reportar la solicitud.

Superposición falsa de verificación de tarjeta NFC de PhantomCard (variante en portugués, dirigida a Brasil):

Superposición falsa de verificación de tarjeta NFC de NFCShare (variante en italiano, dirigida a Italia):

Menú rápido:

• Introducción
• ¿Cómo eliminar el historial de navegación del navegador web Chrome?
• ¿Cómo desactivar las notificaciones del navegador en el navegador web Chrome?
• ¿Cómo restablecer el navegador web Chrome?
• ¿Cómo eliminar el historial de navegación del navegador web Firefox?
• ¿Cómo desactivar las notificaciones del navegador en el navegador web Firefox?
• ¿Cómo restablecer el navegador web Firefox?
• ¿Cómo desinstalar aplicaciones potencialmente no deseadas y/o maliciosas?
• ¿Cómo iniciar el dispositivo Android en «Modo seguro»?
• ¿Cómo comprobar el uso de batería de varias aplicaciones?
• ¿Cómo comprobar el uso de datos de varias aplicaciones?
• ¿Cómo instalar las últimas actualizaciones de software?
• ¿Cómo restablecer el sistema a su estado predeterminado?
• ¿Cómo desactivar aplicaciones que tienen privilegios de administrador?

Eliminar el historial de navegación del navegador web Chrome:

Pulse el botón «Menú» (tres puntos en la esquina superior derecha de la pantalla) y seleccione «Historial» en el menú desplegable que se abre.

Pulse «Borrar datos de navegación», seleccione la pestaña «CONFIGURACIÓN AVANZADA», elija el intervalo de tiempo y los tipos de datos que desea eliminar y pulse «Borrar datos».

[Volver al índice]

Desactivar las notificaciones del navegador en el navegador web Chrome:

Pulse el botón «Menú» (tres puntos en la esquina superior derecha de la pantalla) y seleccione «Configuración» en el menú desplegable que se abre.

Desplácese hacia abajo hasta ver la opción «Configuración del sitio» y púlsela. Desplácese hacia abajo hasta ver la opción «Notificaciones» y púlsela.

Encuentre los sitios web que envían notificaciones del navegador, púlselos y haga clic en «Borrar y restablecer». Esto eliminará los permisos concedidos a estos sitios web para enviar notificaciones. Sin embargo, cuando visite el mismo sitio de nuevo, puede que le solicite permiso otra vez. Puede elegir si conceder estos permisos o no (si elige rechazarlos, el sitio web pasará a la sección «Bloqueados» y ya no le solicitará el permiso).

[Volver al índice]

Restablecer el navegador web Chrome:

Vaya a «Configuración», desplácese hacia abajo hasta ver «Aplicaciones» y púlselo.

Desplácese hacia abajo hasta encontrar la aplicación «Chrome», selecciónela y pulse la opción «Almacenamiento».

Pulse «GESTIONAR ALMACENAMIENTO», luego «BORRAR TODOS LOS DATOS» y confirme la acción pulsando «OK». Tenga en cuenta que restablecer el navegador eliminará todos los datos almacenados en él. Esto significa que se eliminarán todos los inicios de sesión/contraseñas guardados, el historial de navegación, las configuraciones no predeterminadas y otros datos. También tendrá que volver a iniciar sesión en todos los sitios web.

[Volver al índice]

Eliminar el historial de navegación del navegador web Firefox:

Pulse el botón «Menú» (tres puntos en la esquina superior derecha de la pantalla) y seleccione «Historial» en el menú desplegable que se abre.

Desplácese hacia abajo hasta ver «Borrar datos privados» y púlselo. Seleccione los tipos de datos que desea eliminar y pulse «BORRAR DATOS».

[Volver al índice]

Desactivar las notificaciones del navegador en el navegador web Firefox:

Visite el sitio web que envía notificaciones del navegador, pulse el icono que se muestra a la izquierda de la barra de URL (el icono no será necesariamente un «Candado») y seleccione «Editar configuración del sitio».

En la ventana emergente que se abre, active la opción «Notificaciones» y pulse «BORRAR».

[Volver al índice]

Restablecer el navegador web Firefox:

Vaya a «Configuración», desplácese hacia abajo hasta ver «Aplicaciones» y púlselo.

Desplácese hacia abajo hasta encontrar la aplicación «Firefox», selecciónela y pulse la opción «Almacenamiento».

Pulse «BORRAR DATOS» y confirme la acción pulsando «ELIMINAR». Tenga en cuenta que restablecer el navegador eliminará todos los datos almacenados en él. Esto significa que se eliminarán todos los inicios de sesión/contraseñas guardados, el historial de navegación, las configuraciones no predeterminadas y otros datos. También tendrá que volver a iniciar sesión en todos los sitios web.

[Volver al índice]

Desinstalar aplicaciones potencialmente no deseadas y/o maliciosas:

Vaya a «Configuración», desplácese hacia abajo hasta ver «Aplicaciones» y púlselo.

Desplácese hacia abajo hasta ver una aplicación potencialmente no deseada y/o maliciosa, selecciónela y pulse «Desinstalar». Si por alguna razón no puede eliminar la aplicación seleccionada (por ejemplo, se le muestra un mensaje de error), debería intentar usar el «Modo seguro».

[Volver al índice]

Iniciar el dispositivo Android en «Modo seguro»:

El «Modo seguro» en el sistema operativo Android desactiva temporalmente la ejecución de todas las aplicaciones de terceros. Usar este modo es una buena forma de diagnosticar y resolver diversos problemas (por ejemplo, eliminar aplicaciones maliciosas que impiden a los usuarios hacerlo cuando el dispositivo funciona «normalmente»).

Mantenga pulsado el botón de «Encendido» hasta que vea la pantalla de «Apagar». Pulse el icono de «Apagar» y manténgalo pulsado. Después de unos segundos aparecerá la opción de «Modo seguro» y podrá ejecutarlo reiniciando el dispositivo.

[Volver al índice]

Comprobar el uso de batería de varias aplicaciones:

Vaya a «Configuración», desplácese hacia abajo hasta ver «Mantenimiento del dispositivo» y púlselo.

Pulse «Batería» y compruebe el uso de cada aplicación. Las aplicaciones legítimas/genuinas están diseñadas para usar la menor cantidad de energía posible con el fin de proporcionar la mejor experiencia de usuario y ahorrar batería. Por lo tanto, un alto consumo de batería puede indicar que la aplicación es maliciosa.

[Volver al índice]

Comprobar el uso de datos de varias aplicaciones:

Vaya a «Configuración», desplácese hacia abajo hasta ver «Conexiones» y púlselo.

Desplácese hacia abajo hasta ver «Uso de datos» y seleccione esta opción. Al igual que con la batería, las aplicaciones legítimas/genuinas están diseñadas para minimizar el uso de datos tanto como sea posible. Esto significa que un uso excesivo de datos puede indicar la presencia de una aplicación maliciosa. Tenga en cuenta que algunas aplicaciones maliciosas pueden estar diseñadas para funcionar solo cuando el dispositivo está conectado a una red inalámbrica. Por este motivo, debe comprobar tanto el uso de datos móviles como el de Wi-Fi.

Si encuentra una aplicación que consume muchos datos aunque nunca la use, le recomendamos encarecidamente que la desinstale lo antes posible.

[Volver al índice]

Instalar las últimas actualizaciones de software:

Mantener el software actualizado es una buena práctica en lo que respecta a la seguridad del dispositivo. Los fabricantes de dispositivos lanzan continuamente varios parches de seguridad y actualizaciones de Android para corregir errores y fallos que pueden ser aprovechados por ciberdelincuentes. Un sistema desactualizado es mucho más vulnerable, por lo que siempre debe asegurarse de que el software de su dispositivo esté actualizado.

Vaya a «Configuración», desplácese hacia abajo hasta ver «Actualización de software» y púlselo.

Pulse «Descargar actualizaciones manualmente» y compruebe si hay actualizaciones disponibles. Si las hay, instálelas inmediatamente. También recomendamos activar la opción «Descargar actualizaciones automáticamente» - esto permitirá que el sistema le notifique cuando se publique una actualización y/o la instale automáticamente.

[Volver al índice]

Restablecer el sistema a su estado predeterminado:

Realizar un «Restablecimiento de fábrica» es una buena forma de eliminar todas las aplicaciones no deseadas, restaurar la configuración del sistema a los valores predeterminados y limpiar el dispositivo en general. Sin embargo, debe tener en cuenta que se eliminarán todos los datos del dispositivo, incluyendo fotos, archivos de vídeo/audio, números de teléfono (almacenados en el dispositivo, no en la tarjeta SIM), mensajes SMS, etc. En otras palabras, el dispositivo se restaurará a su estado original.

También puede restaurar la configuración básica del sistema y/o simplemente la configuración de red.

Vaya a «Configuración», desplácese hacia abajo hasta ver «Acerca del teléfono» y púlselo.

Desplácese hacia abajo hasta ver «Restablecer» y púlselo. Ahora elija la acción que desea realizar:
«Restablecer configuración» - restaurar toda la configuración del sistema a los valores predeterminados;
«Restablecer configuración de red» - restaurar toda la configuración relacionada con la red a los valores predeterminados;
«Restablecer datos de fábrica» - restablecer todo el sistema y eliminar completamente todos los datos almacenados;

[Volver al índice]

Desactivar aplicaciones que tienen privilegios de administrador:

Si una aplicación maliciosa obtiene privilegios de nivel de administrador, puede dañar seriamente el sistema. Para mantener el dispositivo lo más seguro posible, siempre debe comprobar qué aplicaciones tienen dichos privilegios y desactivar las que no deberían tenerlos.

Vaya a «Configuración», desplácese hacia abajo hasta ver «Pantalla de bloqueo y seguridad» y púlselo.

Desplácese hacia abajo hasta ver «Otros ajustes de seguridad», púlselo y luego pulse «Aplicaciones de administración del dispositivo».

Identifique las aplicaciones que no deberían tener privilegios de administrador, púlselas y luego pulse «DESACTIVAR».

Preguntas frecuentes (FAQ)

Mi dispositivo Android está infectado con PhantomCard/NFCShare, ¿debería formatear mi dispositivo de almacenamiento para deshacerme de él?

Formatear su dispositivo de almacenamiento normalmente no es necesario para eliminar PhantomCard/NFCShare. Ejecutar una aplicación antivirus móvil de confianza como Combo Cleaner debería ser suficiente para detectar y eliminar el malware sin borrar su dispositivo.

¿Cuáles son los mayores problemas que puede causar PhantomCard/NFCShare?

El riesgo más directo es el robo financiero. El malware captura datos de tarjetas de pago sin contacto y PINs en tiempo real, permitiendo a los atacantes realizar compras o retiros en cajeros automáticos usando una copia emulada de la tarjeta de la víctima. Las víctimas a menudo no se dan cuenta de que algo está mal hasta que aparecen cargos no autorizados en su extracto bancario.

¿Puede PhantomCard/NFCShare robar dinero de mi tarjeta de pago sin contacto sin que me dé cuenta?

Sí. El malware engaña a las víctimas para que acerquen su tarjeta de pago al teléfono e introduzcan un PIN a través de una pantalla de verificación falsa. Los datos capturados se retransmiten instantáneamente a los atacantes, quienes emulan la tarjeta en su propio dispositivo y la utilizan para pagos sin contacto o retiros en cajeros automáticos, todo sin poseer físicamente la tarjeta.

¿Cómo se infiltró PhantomCard/NFCShare en mi dispositivo Android?

PhantomCard/NFCShare se distribuye a través de campañas adaptadas a regiones específicas: páginas falsas de Google Play Store en Brasil y sitios de phishing que suplantan a Deutsche Bank en Italia. Ambas versiones dependen de la ingeniería social para convencer a los usuarios de instalar un archivo APK no oficial fuera de la tienda de aplicaciones oficial.

¿Me protegerá Combo Cleaner del malware?

Combo Cleaner es capaz de detectar y eliminar prácticamente todas las infecciones de malware conocidas. Recuerde que es esencial realizar un análisis completo del sistema, ya que los programas maliciosos sofisticados normalmente se ocultan en las profundidades del sistema.