Los estafadores siempre están presentando nuevos trucos. Justo cuando comienzas a sentirte seguro de detectar correos electrónicos de phishing, enlaces sospechosos y aplicaciones de banca falsas, encuentran un nuevo ángulo. Últimamente, se han vuelto más creativos, recurriendo a las características incorporadas de nuestros teléfonos para lograr sus esquemas. Uno de los últimos objetivos es NFC, la tecnología detrás de Faucet-to-Pay.
Puede parecer inofensivo, pero una nueva estafa lo está usando de una manera que la mayoría de la gente nunca esperaría. Un malware Android llamado SuperCard va más allá de solo robar los detalles de su tarjeta. Le da a los atacantes la capacidad de usar su carta de forma remota para transacciones reales. Y la peor parte es que todo comienza con algo tan easy como un mensaje de texto.
Un teléfono Android (Kurt “Cyberguy” Knutsson)
¿Qué hace que Supercard X sea diferente?
Supercard X se destaca de otro malware Android debido a cómo funciona. Según lo informado por Investigadores de CLEAFYen lugar de robar nombres de usuario, contraseñas o códigos de verificación, utiliza un método llamado Relé NFC. Esto permite a los atacantes copiar datos de la tarjeta del dispositivo de una víctima en tiempo actual y usarlos en otro lugar para realizar pagos o retirar efectivo. El proceso no requiere acceso físico a la tarjeta o conocimiento del PIN.
El malware se ofrece a través de un modelo de malware como servicio, lo que significa que diferentes cibercriminales pueden usarlo en sus propias regiones. Esto hace que la amenaza sea más escalable y más difícil de contener. A diferencia de la mayoría de los troyanos bancarios, SuperCard X no se centra en una institución específica. Se dirige a cualquier titular de la tarjeta, independientemente de qué banco emitió su tarjeta.
Otra diferencia clave es cuán sigiloso es el malware. Utiliza permisos mínimos y no incluye características adicionales que facilitaran la detección. Este enfoque Lean lo ayuda a evitar la detección mediante el software program antivirus y le permite operar silenciosamente en dispositivos infectados.
SuperCardx totalmente indetectable (FUD | CLEAFY) (Kurt “Cyberguy” Knutsson)
200 millones de registros de redes sociales filtrados en la infracción de datos X Major X
Cómo funciona la estafa
El fraude comienza con un mensaje enviado a través de SMS o WhatsApp. Finge ser de un banco y advierte al destinatario sobre una transacción sospechosa. El mensaje incluye un número de teléfono e insta a la persona a llamar para resolver el problema. Este es el primer paso para obtener la confianza de la víctima.
Una vez en el teléfono, el atacante se hace pasar por un representante bancario y camina a la víctima a través de un proceso de seguridad falso. Esto puede incluir pedirles que confirmaran los datos personales o ajustar la configuración en su aplicación de banca móvil, como eliminar los límites de gasto en su tarjeta.
A continuación, el atacante le pide a la víctima que instale una aplicación móvil que se describa como una herramienta para verificar la cuenta o mejorar la seguridad. En realidad, esta aplicación contiene el malware Supercard X. Después de la instalación, el atacante instruye a la víctima que toque su tarjeta contra el teléfono. El malware luego captura los datos de NFC de la tarjeta y los envía a un segundo teléfono controlado por el atacante.
Usando los datos copiados, el atacante puede realizar pagos sin contacto o hacer retiros de cajeros automáticos casi al instante. Este método les permite robar fondos rápidamente y deja pocas oportunidades para que los bancos o víctimas intervengan a tiempo.
Una mujer desplazándose por su teléfono (Kurt “Cyberguy” Knutsson)
El malware expone 3.9 mil millones de contraseñas en una gran amenaza de ciberseguridad
8 formas en que puede mantenerse a salvo del malware Supercard X
1) Tenga cuidado con los textos y llamadas sospechosos. Use un software program antivirus fuerte: Las campañas fraudulentas a menudo comienzan con un SMS o una llamada que parece provenir de su banco. Estos mensajes generalmente afirman que hay actividad sospechosa en su cuenta y le insta a que haga clic en un enlace o marque un número para resolver el problema. Sin embargo, esta es una táctica utilizada para obtener acceso a su información private. Siempre abordar tales mensajes con escepticismo.
La mejor manera de salvaguardarse de los enlaces maliciosos que instalan malware, que potencialmente acceden a su información privada, es tener un software program antivirus fuerte instalado en todos sus dispositivos. Esta protección también puede alertarlo sobre los correos electrónicos de phishing y las estafas de ransomware, manteniendo su información private y sus activos digitales seguros. Obtenga mis elecciones para los mejores ganadores de protección antivirus 2025 para sus dispositivos Windows, Mac, Android e iOS.
2) Evite instalar aplicaciones de fuentes no confiables: Una de las formas clave en que se propaga el malware como SuperCard X es a través de aplicaciones engañosas que las víctimas están convencidas de instalar. Estas aplicaciones a menudo se ven inofensivas, posándose como herramientas para la seguridad o la verificación de la cuenta. Si recibe un enlace para descargar una aplicación a través de SMS, correo electrónico o aplicaciones de mensajería como WhatsApp, no haga clic en él. En cambio, solo descargue aplicaciones de fuentes de confianza, como Google Play Retailer. Además, revise cuidadosamente los permisos de la aplicación y evite otorgar acceso innecesario, particularmente a datos confidenciales como NFC, ubicación o contactos personales.
3) Apague NFC cuando no esté en uso: NFC, o comunicación de campo cercano, es una característica útil que permite pagos e intercambios de datos sin contacto. Sin embargo, los atacantes pueden explotarlo capturar la información de su carta sin que se dé cuenta. Para minimizar su riesgo de ser víctima del malware basado en NFC como SuperCard X, apague NFC cuando no lo esté utilizando activamente.
En la mayoría de los dispositivos Android, puede hacerlo yendo a “Configuración”, luego “Dispositivos conectados” o “Preferencias de conexión”, donde encontrará la alternancia NFC. Al deshabilitar NFC, su teléfono no transmitirá datos de forma inalámbrica, lo que ayuda a proteger la información de su tarjeta de pago de ser robado por los atacantes cercanos.
4) Esté atento a sus cuentas y tarjetas bancarias: Si su dispositivo ha entrado en contacto con la Supercard o algo comparable, es posible que sus detalles bancarios ya se vean comprometidos. Es por eso que es importante verificar regularmente el historial de su transacción para obtener algo extraño, como un pequeño pago que no recuerda haber hecho o un cargo desde una ubicación extraña podría ser un signo de mal uso. Si ve algo sospechoso, infórmelo a su banco de inmediato. También vale la pena revisar sus informes de crédito de vez en cuando para detectar signos de robo de identidad antes de que sean bola de nieve en problemas más grandes.
5) Use un servicio de eliminación de datos personales: Si los estafadores lo han dirigido una vez, hay una mayor posibilidad de que lo intenten nuevamente, especialmente si sus datos personales (como su número de teléfono, dirección o correo electrónico) se encuentran fácilmente en línea. Los servicios de eliminación de datos escanean sitios y corredores de búsqueda de personas, luego soliciten la eliminación de su información. Esto cut back su exposición y ayuda a prevenir futuros ataques de phishing o ingeniería social.
Si bien ningún servicio puede garantizar la eliminación completa de sus datos de Web, un servicio de eliminación de datos es realmente una opción inteligente. No son baratos y tampoco es tu privacidad. Estos servicios hacen todo el trabajo por usted al monitorear activamente y borrando sistemáticamente su información private de cientos de sitios internet. Es lo que me da tranquilidad y ha demostrado ser la forma más efectiva de borrar sus datos personales de Web. Al limitar la información disponible, cut back el riesgo de los datos de referencias cruzadas de las infracciones con información que pueden encontrar en la purple oscura, lo que dificulta que se le apuntarán. Consulte mis mejores selecciones para obtener servicios de eliminación de datos aquí.
6) Póngase en contacto con su banco y congele sus tarjetas: Si cree que ha aprovechado o manejado una tarjeta sospechosa, o si su teléfono actuó extrañamente después, no la cepille. Llame a su banco y hágales saber qué pasó. Pueden congelar su tarjeta para detener los pagos no autorizados y emitir uno nuevo para mayor seguridad. También debe pedirles que controlen su cuenta más de cerca por un tiempo. Además de eso, coloque una alerta de fraude con una oficina de crédito para que nadie pueda abrir fácilmente una nueva línea de crédito a su nombre.
7) Considere inscribirse en servicios de protección de robo de identidad: Si ha sido blanco de una estafa sofisticada como SuperCard X, existe la posibilidad de que su información private, no solo los datos de su tarjeta, pueda estar en riesgo. Las empresas de robo de identidad pueden monitorear información private, como su número de seguro social, número de teléfono y dirección de correo electrónico, y alertarlo si se vende en la internet oscura o que se usa para abrir una cuenta. También pueden ayudarlo a congelar su banco y cuentas de tarjetas de crédito para evitar un mayor uso no autorizado por parte de los delincuentes. Vea mis consejos y las mejores selecciones sobre cómo protegerse del robo de identidad.
8) Informe la estafa a su autoridad nacional de delitos cibernéticos: Ya sea que haya perdido dinero o no, informar la estafa ayuda a las autoridades a rastrear las amenazas emergentes y advertir a otros. Puede informar tal fraude a los FBI Centro de quejas de delitos de Internet o el Comisión federal. Su informe podría ayudar a atrapar a las personas detrás de la estafa o al menos cerrar su infraestructura.
¿Qué tan segura es mi contraseña? Use esta prueba para averiguar
Takeaway de la llave de Kurt
La campaña de malware de Supercard X representa un cambio significativo en cómo los ciberdelincuentes están dirigidos a individuos e instituciones financieras. Al explotar la tecnología NFC y combinarla con tácticas de ingeniería social, los atacantes han encontrado una manera de evitar los sistemas tradicionales de detección de fraude. Lo que es especialmente preocupante es qué tan rápido se desarrollan estos ataques, lo que los hace más difíciles de detectar antes de que se haga el daño. A medida que evoluciona esta amenaza, es importante que tanto los consumidores como las instituciones reconozcan los riesgos potenciales de estas estrategias de fraude multicapa.
¿Crees que Google está haciendo lo suficiente para protegerte del malware? Háganos saber escribiéndonos en Cyberguy.com/contact.
Para obtener más consejos tecnológicos y alertas de seguridad, suscríbase a mi boletín gratuito de Cyberguy Report al dirigirse a Cyberguy.com/newsletter.
Hazle una pregunta a Kurt o háganos saber qué historias le gustaría que cubramos.
Sigue a Kurt en sus canales sociales:
Respuestas a las preguntas de CyberGuys más informadas:
Nuevo de Kurt:
Copyright 2025 cyberguy.com. Reservados todos los derechos.
