Uma campanha de aplicações Android falsas está a espalhar-se pela Europa, explorando a tecnologia NFC (Near-Field Communication) para roubar dados de cartões e realizar pagamentos fraudulentos por aproximação.
A investigação da Zimperium, empresa de segurança móvel que faz parte da App Defense Alliance do Google, revelou que mais de 760 aplicações maliciosas estão em circulação desde abril de 2024.
Apps falsas fazem-se passar por bancos e serviços legítimos
Segundo o relatório, os cibercriminosos estão a disfarçar aplicações maliciosas como bancos e serviços financeiros populares, incluindo o Google Pay, Banco Santander, VTB, Tinkoff, ING, Bradesco e outros. O objetivo é convencer os utilizadores a definir a aplicação como método de pagamento NFC padrão, permitindo que o malware intercepte e retransmita dados de cartão em tempo real.
Estas aplicações utilizam a Emulação de Cartão Host (HCE) do Android para simular o comportamento de cartões físicos, capturando dados EMV (Europay, Mastercard e Visa) e respondendo a comandos de terminais Ponto de Venda (POS, na sigla em inglês) com informações falsas controladas pelos atacantes. Na prática, isso possibilita transações sem a presença física do titular do cartão, conhecidas como ghost-tap payments.
Expansão pela Europa e coordenação via Telegram
O fenómeno, inicialmente detetado na Polónia em 2023, expandiu-se rapidamente para a República Checa, Eslováquia e Rússia, tornando-se uma das campanhas de malware financeiro mais ativas da Europa de Leste, conforme destaca o Bleeping Computer.
A Zimperium identificou mais de 70 servidores de comando e controlo (C2) e dezenas de canais privados no Telegram usados para coordenar ataques e exfiltrar dados roubados.
Os investigadores também descobriram diferentes variantes do ataque, incluindo aplicações que enviam automaticamente informações de cartões para bots do Telegram e ferramentas de retransmissão que permitem aos criminosos controlar pagamentos remotamente.
Ameaça crescente ao sistema “aproximar para pagar”
Com o aumento global das transações por NFC, os cibercriminosos estão a aproveitar esta tecnologia para monetizar fraudes financeiras em larga escala. Diferentemente dos trojans bancários tradicionais, que dependem de sobreposições de ecrã ou da interceção de SMS, os novos malwares atuam ao nível do próprio sistema NFC, explorando permissões do Android de forma silenciosa e sofisticada.
A Zimperium alerta que este tipo de ataque representa uma nova classe de ameaça móvel, combinando roubo de dados, fraude em tempo real e abuso de funcionalidades legítimas do sistema, algo que as defesas tradicionais nem sempre conseguem detetar.
Como proteger-se
Esta campanha de malware reforça a necessidade de redobrar a vigilância digital, especialmente com a popularidade dos pagamentos por aproximação.
Os especialistas recomendam que os utilizadores evitem instalar APKs fora da Google Play, verifiquem permissões suspeitas, como acesso ao NFC ou execução em segundo plano, e utilizem apenas links oficiais dos bancos para descarregar aplicações financeiras.
Também é aconselhável analisar o dispositivo com o Play Protect regularmente e desativar o NFC quando não estiver a ser utilizado.
