Malware móvel PhantomCard
Pesquisadores de segurança cibernética descobriram um novo e perigoso trojan para Android chamado PhantomCard. Este malware sofisticado explora a tecnologia de comunicação de campo próximo (NFC) para realizar ataques de retransmissão, permitindo que criminosos realizem transações fraudulentas virtualmente "clonando" os cartões bancários das vítimas.
Índice
Como o PhantomCard opera
O PhantomCard funciona retransmitindo dados NFC do cartão da vítima para o dispositivo do criminoso, permitindo que o invasor use o cartão como se estivesse fisicamente em sua posse. O design do malware é baseado no malware como serviço de retransmissão NFC desenvolvido pela China, especificamente na plataforma NFU Pay.
O aplicativo malicioso, disfarçado de Proteção Cartões, é distribuído por meio de páginas falsas do Google Play que imitam serviços legítimos de proteção de cartões. Essas páginas são complementadas com avaliações positivas falsas para aumentar a credibilidade. Embora o método exato de distribuição permaneça desconhecido, é provável que sejam utilizadas táticas de smishing ou engenharia social semelhantes.
Uma vez instalado, o aplicativo solicita que a vítima coloque seu cartão de crédito ou débito na parte de trás do celular para "verificação". Quando a interface exibe "Cartão Detectado!", o malware começa a transmitir dados NFC para um servidor remoto controlado pelo invasor. O aplicativo então solicita que o usuário insira seu PIN, que é imediatamente enviado ao criminoso para autorizar transações reais em um terminal PoS ou caixa eletrônico.
O papel da mula no esquema
Do lado do criminoso, um dispositivo mula executa um aplicativo correspondente, projetado para receber os dados do cartão roubado. Essa configuração garante uma comunicação fluida entre o terminal PoS e o cartão da vítima, possibilitando que os invasores usem as credenciais roubadas em tempo real.
O desenvolvedor do malware, conhecido online como Go1ano, é famoso no Brasil por revender ameaças para Android. Pesquisadores observam que o PhantomCard é essencialmente uma versão repaginada do serviço chinês NFU Pay, promovido abertamente no Telegram. O desenvolvedor afirma que a ferramenta é globalmente funcional, completamente indetectável e compatível com todos os sistemas PoS habilitados para NFC. Eles também anunciam laços estreitos com outras famílias de malware, incluindo BTMOB e GhostSpy.
Parte de um crescente ecossistema subterrâneo de fraudes NFC
O NFU Pay é apenas uma das diversas ferramentas ilegais de retransmissão NFC disponíveis no mercado, juntamente com nomes como SuperCard X, KingNFC e X/Z/TX-NFC. A disseminação dessas ferramentas traz novos riscos para bancos e instituições financeiras regionais, permitindo que agentes de ameaças globais contornem barreiras linguísticas, culturais e técnicas que antes limitavam os ataques. Essa expansão complica significativamente a detecção e a prevenção de fraudes.
Sudeste Asiático: Um viveiro para exploração de NFC
Pesquisadores alertam que o Sudeste Asiático surgiu como um campo de testes para fraudes baseadas em NFC. Em países como as Filipinas, o aumento dos pagamentos por aproximação e a prevalência de transações de baixo valor que frequentemente ignoram a verificação do PIN tornam esses ataques particularmente eficazes.
Ferramentas clandestinas comuns que permitem fraudes NFC incluem:
- Z-NFC e X-NFC – Conhecidos por clonar e usar dados de cartões roubados em transações em tempo real.
- SuperCard X e Track2NFC – Amplamente disponíveis em fóruns da dark web e grupos de bate-papo privados, eles permitem que invasores realizem pagamentos sem contato não autorizados.
As transações desses ataques geralmente parecem legítimas, originadas de dispositivos autenticados, o que torna a detecção e a prevenção desafiadoras, especialmente em sistemas financeiros em tempo real.
