Malware de retransmissão NFC (Near-Field Communication) tornou-se amplamente popular na Europa Oriental.
Pesquisadores identificaram, nos últimos meses, mais de 760 aplicativos maliciosos para Android que utilizam essa técnica para roubar informações de cartões de pagamento.
Diferentemente dos tradicionais trojans bancários, que usam overlays para capturar credenciais ou ferramentas de acesso remoto para fraudes, esse malware explora o Host Card Emulation (HCE) do Android.
Ele simula ou rouba dados de cartões de crédito e pagamentos por aproximação.
O malware captura campos EMV e responde a comandos APDU enviados por terminais POS com respostas controladas pelos atacantes ou encaminha essas solicitações a servidores remotos.
Esses servidores, por sua vez, geram respostas corretas que permitem transações no terminal, mesmo sem o cartão físico ou o portador presentes.
Essa técnica foi registrada pela primeira vez em 2023, na Polônia, seguida por campanhas na República Tcheca e, posteriormente, por ondas de ataques ainda maiores na Rússia.
Com o tempo, surgiram diversas variantes com abordagens distintas, entre elas:
- coleta de dados EMV, enviados para canais como Telegram ou outros endpoints;
- kits de retransmissão que encaminham comandos APDU para dispositivos remotos pareados;
- pagamentos “ghost-tap”, nos quais as respostas HCE são manipuladas para autorizar transações em tempo real;
- PWAs ou aplicativos bancários falsos que se registram como aplicativo padrão de pagamento no Android.
Segundo a empresa de segurança móvel Zimperium, membro da App Defense Alliance do Google, o uso de malware NFC no Android cresceu rapidamente, especialmente na Europa Oriental.
“O que começou com poucos exemplos isolados já ultrapassa 760 apps maliciosos detectados em ambientes reais, mostrando que o abuso da retransmissão NFC não está diminuindo, mas sim acelerando”, afirma a Zimperium.
“As campanhas inicialmente relatadas por outros fornecedores estão se expandindo para outras regiões, incluindo Rússia, Polônia, República Tcheca, Eslováquia, entre outras.”
A empresa identificou mais de 70 servidores de comando e controle (C2) e hubs de distribuição de aplicativos que dão suporte a essas campanhas, além de dezenas de bots e canais privados no Telegram usados para exfiltrar dados roubados e coordenar ataques.
Os apps maliciosos usados para disseminar o malware simulam o Google Pay ou instituições financeiras conhecidas, como Santander, VTB Bank, Tinkoff, ING, Bradesco, Promsvyazbank (PSB) e outras.
Usuários Android são aconselhados a nunca instalar APKs fora da Google Play, a menos que confiem plenamente na fonte.
É fundamental baixar aplicativos bancários apenas pelos links oficiais dos bancos e verificar permissões suspeitas, principalmente aquelas relacionadas ao NFC ou a privilégios de serviços em primeiro plano.
Além disso, recomenda-se escanear o dispositivo regularmente com o Play Protect, ferramenta nativa antimalware do Android, e desativar o NFC quando não estiver em uso.
A lista completa dos APKs maliciosos identificados pela Zimperium está disponível neste link.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...