Pesquisadores da ESET identificaram uma nova variante do malware NGate direcionada especificamente ao mercado brasileiro, que utiliza uma versão trojanizada do aplicativo legítimo HandyPay para roubar informações de cartões de pagamento através da tecnologia NFC (Near Field Communication – comunicação de campo próximo, usada em pagamentos por aproximação).
Mecanismo técnico e evolução da ameaça
A campanha, descoberta pelo pesquisador Lukáš Štefanko da ESET, representa uma evolução tática significativa em relação às versões anteriores do NGate. Enquanto as variantes anteriores utilizavam a ferramenta open-source NFCGate, esta nova versão aproveita as capacidades nativas do HandyPay, um aplicativo de processamento de pagamentos móveis disponível na Google Play desde 2021.
A mudança de ferramenta foi motivada por questões econômicas e operacionais. Alternativas anteriores como NFU Pay ($400/mês) e TX-NFC ($500/mês) representavam custos elevados para os criminosos, enquanto o HandyPay custa apenas €9.99 por mês, tornando a operação maliciosa mais acessível e sustentável.
Uma característica peculiar identificada no código malicioso é a presença de emojis, sugerindo que os atacantes podem estar utilizando ferramentas de inteligência artificial generativa no desenvolvimento do malware.
Vetores de distribuição e cadeia de ataque
A distribuição do malware ocorre através de dois vetores principais. O primeiro envolve um aplicativo falso chamado “Proteção Cartão”, hospedado em uma página que imita o Google Play, prometendo recursos de proteção para cartões bancários. O segundo vetor utiliza sites de loteria fraudulentos, onde visitantes são informados que “ganharam prêmios” e são redirecionados para o WhatsApp para reivindicá-los, eventualmente sendo direcionados ao download do APK malicioso.
Após a instalação, o aplicativo solicita ao usuário que o configure como aplicativo padrão de pagamento NFC do dispositivo. Esta solicitação não levanta suspeitas imediatas, pois é um comportamento esperado de aplicativos de pagamento legítimos. Uma vez configurado, o malware se posiciona para interceptar todas as transações NFC subsequentes do dispositivo.
Processo de exfiltração de dados
O aplicativo trojanizado coleta três elementos críticos para comprometer as contas bancárias das vítimas. Primeiro, solicita que o usuário digite o PIN do cartão diretamente no aplicativo. Em seguida, instrui a vítima a aproximar o cartão físico do telefone, momento em que realiza a leitura completa dos dados do cartão através da interface NFC. Todas as informações coletadas são então enviadas para um endereço de email hardcoded no código do aplicativo.
Indicadores de comprometimento e proteção
Os principais indicadores de comprometimento incluem a presença do aplicativo “Proteção Cartão” no dispositivo, solicitações para configuração como aplicativo padrão NFC, requisições diretas de PIN de cartão e instruções para aproximar cartões físicos do dispositivo.
A infraestrutura maliciosa envolve páginas falsas do Google Play, sites de loteria fraudulentos, redirecionamentos através do WhatsApp e endereços de email hardcoded para exfiltração de dados. O Google Play Protect já detecta e bloqueia esta ameaça, mas usuários que instalaram o aplicativo através de fontes externas permanecem vulneráveis.
Implicações e recomendações
Esta campanha, ativa desde novembro de 2024, demonstra como atacantes estão adaptando suas ferramentas por motivações econômicas e de evasão. A transição de ferramentas custosas e facilmente detectáveis para aplicativos legítimos trojanizados mais baratos e discretos indica uma sofisticação operacional crescente no ecossistema de ameaças móveis.
Para proteção, usuários devem evitar instalar aplicativos de fontes não oficiais, desconfiar de promessas de prêmios não solicitados, nunca fornecer PINs de cartões em aplicativos móveis e manter o Play Protect ativado. Aplicativos legítimos de pagamento nunca solicitam o PIN do cartão diretamente, pois esta informação deve ser inserida apenas em terminais de pagamento certificados ou caixas eletrônicos.
A campanha NGate contra o Brasil ilustra a crescente sofisticação das ameaças móveis direcionadas ao setor financeiro, destacando a necessidade de vigilância contínua e educação dos usuários sobre os riscos de aplicativos trojanizados e técnicas de engenharia social cada vez mais elaboradas.