Os pagamentos por aproximação se tornaram parte da rotina de milhões de pessoas. Basta encostar o cartão ou o smartphone na maquininha para concluir uma compra em segundos. No entanto, essa praticidade também passou a atrair a atenção dos criminosos digitais. A mais recente evolução do malware NFCShare mostra como ataques sofisticados estão explorando a confiança dos usuários em tecnologias modernas e plataformas legítimas.
Nos últimos meses, pesquisadores de segurança identificaram uma expansão significativa da atuação do malware NFCShare, que agora mira usuários de diversos países europeus por meio de campanhas cada vez mais elaboradas. O objetivo dos criminosos é roubar informações de cartões bancários utilizando recursos legítimos do Android e técnicas avançadas de engenharia social.
O que torna essa ameaça especialmente preocupante é a combinação de diferentes estratégias para aumentar a taxa de sucesso dos ataques. Além de utilizar páginas falsas de bancos para atrair vítimas, os operadores do golpe passaram a hospedar aplicativos maliciosos em repositórios do GitHub, uma plataforma amplamente reconhecida e utilizada por desenvolvedores em todo o mundo. Essa abordagem ajuda a transmitir uma falsa sensação de legitimidade e dificulta a identificação imediata da fraude.
Como funciona o golpe do NFCShare
O ataque começa com campanhas de phishing, geralmente distribuídas por SMS, aplicativos de mensagens ou e-mails fraudulentos. Nessas mensagens, os criminosos informam supostos problemas na conta bancária, bloqueios de segurança ou necessidade de atualização de dados.
Ao clicar no link, a vítima é direcionada para uma página que imita visualmente o site oficial de uma instituição financeira. O design, os logotipos e os textos costumam ser reproduzidos com grande fidelidade para aumentar a credibilidade da fraude.
Depois de inserir suas credenciais, o usuário recebe instruções para instalar um aplicativo supostamente relacionado à segurança da conta. Em vez de ser direcionada para a Google Play Store, a vítima é encaminhada para repositórios hospedados no GitHub.
Os criminosos utilizam essa plataforma para armazenar arquivos APK maliciosos que se apresentam como aplicativos legítimos. Entre os disfarces observados estão supostas versões de carteiras digitais e aplicativos de instituições financeiras conhecidas, incluindo nomes associados a bancos e empresas de pagamento como CaixaBank, Intesa e Nexi.
Como muitas pessoas associam o GitHub a um ambiente confiável utilizado por empresas e desenvolvedores, a presença dos arquivos na plataforma reduz as suspeitas da vítima e aumenta as chances de instalação do código malicioso.
Imagem: D3Lab
Como o malware NFCShare rouba dados por aproximação
Após a instalação, o malware NFCShare solicita permissões que parecem compatíveis com as funções prometidas pelo aplicativo. Em muitos casos, o usuário acredita estar realizando uma verificação de segurança ou reativação da conta bancária.
Em seguida, o aplicativo exibe instruções orientando a vítima a aproximar seu cartão físico da parte traseira do smartphone. O procedimento é apresentado como uma etapa necessária para validar a identidade ou sincronizar informações da conta.
É nesse momento que ocorre o roubo dos dados.
Utilizando recursos legítimos do sistema Android, o aplicativo estabelece comunicação direta com o chip presente no cartão bancário por meio da tecnologia NFC. A vítima acredita estar executando uma verificação normal, quando na realidade está fornecendo informações sensíveis aos criminosos.
A sofisticação do ataque está justamente em transformar uma função legítima do dispositivo em uma ferramenta para coleta de dados financeiros.
A anatomia técnica do roubo de dados
Do ponto de vista técnico, a ameaça utiliza a interface IsoDep, um componente legítimo do Android destinado à comunicação com cartões inteligentes compatíveis com padrões internacionais de pagamento.
Por meio dessa interface, o malware envia comandos EMV para o cartão físico. O padrão EMV é amplamente utilizado em cartões com chip e permite a troca segura de informações entre o cartão e os terminais de pagamento.
Quando a vítima aproxima o cartão do aparelho, o código malicioso consegue acessar diversos dados armazenados no chip. Entre as informações coletadas estão:
- Número do cartão
- Data de validade
- Informações de autenticação utilizadas em transações
- Em determinados cenários, dados relacionados ao PIN de quatro dígitos
Após a coleta, os dados são transmitidos para a infraestrutura controlada pelos criminosos por meio de conexões WebSocket.
Essas conexões permitem comunicação em tempo real entre o aplicativo infectado e o servidor de comando e controle (C2). Dessa forma, os operadores conseguem receber rapidamente as informações capturadas e utilizá-las em tentativas de fraude financeira.
A combinação de NFC, IsoDep, comandos EMV e comunicação instantânea com servidores remotos demonstra um elevado nível de sofisticação técnica por parte dos grupos responsáveis pela campanha.
O truque do arquivo zip malformado
Outro aspecto interessante da ameaça NFCShare é a técnica utilizada para dificultar sua detecção por ferramentas automatizadas de segurança.
Muitas pessoas não sabem, mas um arquivo APK do Android é basicamente um pacote compactado baseado no formato ZIP. Ferramentas de análise estática utilizam essa estrutura para examinar automaticamente o conteúdo dos aplicativos.
Os criminosos passaram a modificar deliberadamente partes internas desse arquivo compactado.
Na prática, eles criam estruturas ZIP malformadas ou parcialmente corrompidas. Embora o aplicativo continue funcionando normalmente quando instalado no dispositivo da vítima, diversas ferramentas automáticas encontram dificuldades para abrir ou interpretar corretamente o conteúdo.
Como resultado, sistemas automatizados de inspeção podem falhar ou gerar análises incompletas.
Isso não torna o malware invisível para especialistas, mas aumenta significativamente o trabalho necessário para investigá-lo. Em muitos casos, pesquisadores precisam realizar análises manuais para reconstruir o pacote e identificar o comportamento malicioso.
Essa estratégia demonstra como os desenvolvedores da variante do malware NFCShare estão investindo em mecanismos de evasão cada vez mais sofisticados.
Como se proteger de malwares que exploram o NFC
Embora a ameaça seja avançada, algumas medidas simples podem reduzir drasticamente o risco de infecção.
A principal recomendação é instalar aplicativos exclusivamente pela Google Play Store. Aplicativos distribuídos por links enviados por SMS, mensagens instantâneas ou páginas externas devem ser tratados com extrema cautela.
Também é importante manter o Google Play Protect ativado. Esse recurso realiza verificações contínuas em aplicativos instalados e ajuda a identificar comportamentos suspeitos.
Outras boas práticas incluem:
- Desconfiar de mensagens urgentes envolvendo bloqueio de conta bancária.
- Evitar clicar em links recebidos por SMS ou aplicativos de mensagens.
- Nunca instalar aplicativos bancários a partir de páginas externas.
- Verificar cuidadosamente o endereço dos sites acessados.
- Desconfiar de solicitações para aproximar cartões físicos do celular fora de situações claramente legítimas.
- Manter o sistema Android sempre atualizado.
- Utilizar soluções confiáveis de segurança móvel.
Vale lembrar que bancos raramente solicitam procedimentos incomuns envolvendo a leitura direta do cartão por meio do smartphone.
Quando uma mensagem exigir ações fora do padrão, a recomendação é interromper o processo e entrar em contato diretamente com a instituição financeira pelos canais oficiais.
Conclusão
O avanço do malware NFCShare mostra como os ataques modernos combinam engenharia social, abuso de recursos legítimos do Android e técnicas sofisticadas de evasão para aumentar sua eficácia. A utilização do GitHub como plataforma de distribuição reforça uma tendência preocupante: criminosos estão explorando serviços confiáveis para esconder atividades maliciosas.
Mais do que nunca, a segurança digital depende da atenção dos usuários. Mesmo quando um arquivo parece estar hospedado em uma plataforma respeitada, isso não garante sua legitimidade. Verificar a origem dos aplicativos, desconfiar de solicitações incomuns e manter mecanismos de proteção ativos continua sendo a melhor defesa contra esse tipo de ameaça.
Se você utiliza pagamentos por aproximação ou conhece alguém que usa frequentemente recursos NFC, compartilhe este alerta. A informação continua sendo uma das ferramentas mais eficazes para reduzir o impacto dos golpes digitais e proteger dados financeiros contra ataques cada vez mais sofisticados.
