Malware para Android que clona dados de cartões via NFC mira usuários brasileiros

A equipe de pesquisa da ESET identificou uma nova campanha em andamento que distribui o NGate, um malware para Android especializado em fraudes com pagamentos por aproximação. A ameaça, focada em usuários brasileiros, está sendo disseminada por meio de sites falsos que se fazem passar pela Google Play Store e reproduzem a identidade visual de quatro grandes bancos nacionais e de um aplicativo de e-commerce.

De acordo com a nossa equipe de pesquisa, o aplicativo malicioso mantém o mesmo nome de pacote (com.billy.cardemv) de outras variantes conhecidas do NGate e do PhantomCard, ambos já usados em ataques anteriores no Brasil. Isso indica que se trata de uma nova versão ainda voltada para o público brasileiro. A ameaça, inicialmente identificada em 2024 pela equipe de pesquisa da ESET na Europa, agora também foi detectada na América Latina, com registros específicos no Brasil.

O NGate funciona interceptando dados de cartões NFC (Near Field Communication) e retransmitindo essas informações para um dispositivo controlado por criminosos. A partir daí, o invasor consegue realizar saques em caixas eletrônicos ou pagamentos em terminais POS (ponto de venda), tudo sem precisar de acesso físico ao cartão da vítima.

Indicadores de Comprometimento (IoCs)

Entre os indicadores de comprometimento (IoCs) divulgados estão domínios falsos que simulam aplicativos de instituições como Santander, Banco do Brasil, Itaú, Bradesco e Mercado Livre, hospedados em serviços como pages.dev e replit.dev.

Leia mais: Explicamos mais detalhes técnicos sobre o funcionamento desse tipo de malware em um post publicado anteriormente sobre o risco crescente dos ataques via NFC no sistema Android e a importância de baixar aplicativos apenas através de lojas oficiais.