Uma nova e perigosa vaga de malware para Android está a ganhar popularidade na Europa de Leste, utilizando a tecnologia NFC (Near-Field Communication) para roubar informações de cartões de pagamento diretamente durante as transações contactless. Segundo a empresa de segurança móvel Zimperium, que faz parte da 'App Defense Alliance' da Google, já foram detetadas mais de 760 aplicações maliciosas em circulação.
Este tipo de ataque, apelidado de "Tap and Steal" (Tocar e Roubar), representa uma evolução preocupante, afastando-se dos tradicionais trojans bancários que recorrem a sobreposições de ecrã para capturar credenciais.
Como funciona este novo pesadelo digital?
Em vez de tentar roubar as suas palavras-passe, este malware abusa da funcionalidade Host Card Emulation (HCE) do Android. Esta tecnologia permite que uma aplicação no telemóvel emule um cartão de pagamento contactless. Os atacantes exploram esta capacidade de várias formas:
Recolha de dados: As aplicações maliciosas podem capturar os dados do cartão (campos EMV) durante uma transação e enviá-los para os atacantes através de canais como o Telegram.
Ataques de retransmissão (Relay): O malware interceta os comandos de um terminal de pagamento (TPA) e retransmite-os para um dispositivo cúmplice, que por sua vez os envia para o cartão físico da vítima noutro local. As respostas são enviadas de volta pelo mesmo caminho, autorizando uma transação fraudulenta sem que o cartão da vítima esteja fisicamente presente no local da fraude.
Pagamentos "Ghost-tap": Manipulam as respostas HCE em tempo real para autorizar transações fraudulentas diretamente no terminal de pagamento.
Uma ameaça em rápida expansão na Europa
O que começou como casos isolados detetados pela primeira vez em 2023 na Polónia, rapidamente se expandiu para a República Checa e, mais recentemente, para a Rússia e Eslováquia em campanhas massivas. A Zimperium já identificou mais de 70 servidores de comando e controlo (C2) e dezenas de canais de Telegram usados para coordenar estas operações e extrair os dados roubados.
Para enganar as vítimas, os criminosos disfarçam o malware em aplicações que se fazem passar pelo Google Pay ou por aplicações de instituições financeiras conhecidas, como o Santander Bank, ING Bank, entre outros. Estas aplicações falsas são normalmente distribuídas fora da Google Play Store, através de ficheiros APK.
Como se pode proteger deste ataque?
A vigilância do utilizador é a primeira linha de defesa contra este tipo de ameaça à segurança. A Zimperium recomenda as seguintes medidas de proteção:
Evite instalar aplicações (ficheiros APK) de fontes desconhecidas fora da Google Play Store. Confie apenas em lojas oficiais.
Instale as aplicações bancárias apenas a partir das ligações oficiais fornecidas pelo seu banco.
Verifique sempre as permissões que as aplicações solicitam, desconfiando daquelas que pedem acesso ao NFC ou a "serviços em primeiro plano" (foreground services) sem uma razão clara.
Utilize regularmente o Play Protect, a ferramenta antimalware integrada no Android, para analisar o seu dispositivo.
Se não utiliza pagamentos contactless com frequência, considere desativar o NFC no seu telemóvel.
Nenhum comentário
Seja o primeiro!