Brasil sufre ola de ataques con troyano bancario distribuido vía gusano de WhatsApp y fraude RelayNFC

Brasil enfrenta una doble ofensiva cibernética altamente sofisticada que combina la propagación de un troyano bancario vía WhatsApp con un ataque de fraude contactless mediante RelayNFC en Android.
Las campañas, detectadas a finales de noviembre de 2025, aprovechan dos de los vectores más extendidos en el país: la adopción masiva de WhatsApp como herramienta de comunicación y la popularidad de los pagos NFC, lo que facilita el robo de credenciales financieras y la ejecución de transacciones fraudulentas en tiempo real.

Water Saci: un gusano en WhatsApp que instala un troyano bancario multiobjetivo

El gusano Water Saci se distribuye a través de mensajes de WhatsApp que imitan notificaciones oficiales, inversiones falsas o avisos de seguridad bancaria. Tras comprometer una cuenta, el malware replica automáticamente mensajes dirigidos a contactos individuales, con saludos personalizados en portugués, elevando su tasa de infección.

Una vez en el dispositivo, el troyano:

• Ejecuta chequeos anti-análisis y técnicas de evasión.

• Modifica claves del registro para lograr persistencia.

• Se conecta a servidores C2 como serveristemasatu[.]com.

• Roba credenciales y sesiones de bancos como Bradesco, Itaú y Santander.

• Extrae información de billeteras cripto como MetaMask, Binance y Trust Wallet.

El malware se activa únicamente en dispositivos configurados en portugués brasileño, una táctica diseñada para reducir exposición internacional. Su núcleo está escrito en Python, aprovechando rapidez de desarrollo y carga modular. Investigadores lo comparan con Eternidade Stealer y con variantes previas del ecosistema brasileño como SORVEPOTEL, señalando una clara evolución en la cadena de infección.

RelayNFC: fraude de pagos sin contacto mediante captura y retransmisión en tiempo real

En paralelo, investigadores detectaron la expansión de un malware Android denominado RelayNFC, distribuido mediante páginas de phishing como maisseguraca[.]site.
La aplicación maliciosa instruye a las víctimas a acercar su tarjeta NFC al teléfono, con el pretexto de “verificación de seguridad”. Al hacerlo:

1. El malware captura datos EMV, PIN e información de la tarjeta.

2. Transmite los datos en tiempo real vía WebSocket a los atacantes.

3. Los operadores emulan la tarjeta usando POS virtuales o dispositivos con Host Card Emulation (HCE).

4. Se ejecutan transacciones remotas como si la tarjeta estuviera físicamente presente.

Desarrollado en React Native, RelayNFC evita firmas estáticas típicas de malware Android y dificulta la detección por soluciones tradicionales.
Este ataque marca una evolución de familias previas como SuperCard X, diseñadas específicamente para el ecosistema de pagos contactless brasileño, uno de los más adoptados del mundo.

Impacto regional y preocupaciones globales

Aunque la campaña se centra en Brasil, los analistas han rastreado conexiones con 38 países, evidenciando la infraestructura global detrás del fraude.
El país ocupa el quinto lugar mundial en adopción de criptomonedas, lo que convierte a su población en un objetivo atractivo para troyanos con capacidades de robo de activos digitales.

Instituciones gubernamentales, empresas privadas y usuarios individuales se encuentran entre los afectados. Firmas como Cyble, Kaspersky y The Hacker News han reportado bloqueos parciales de infraestructura C2, aunque los operadores continúan reactivando módulos mediante actualizaciones distribuidas por correo electrónico.

Recomendaciones para equipos de TI, seguridad y usuarios avanzados

Para mitigar el impacto de estas campañas de rápida expansión, los expertos recomiendan:

• Validar cuidadosamente enlaces recibidos por WhatsApp, incluso si provienen de contactos conocidos.

• Evitar la instalación de aplicaciones fuera de Google Play o repositorios oficiales.

• Activar autenticación multifactor en servicios bancarios y billeteras cripto.

• Monitorear y desactivar el NFC cuando no se utilice.

• Implementar EDR móviles con análisis de comportamiento y detección de WebSocket sospechosos.

• En entornos corporativos, restringir WhatsApp Web y segmentar dispositivos BYOD bajo políticas Zero Trust.

Las campañas demuestran un nivel de integración entre troyanos móviles, ingeniería social y explotación de NFC que marca un nuevo punto de inflexión para la cibercriminalidad en Latinoamérica.