Novo vírus Android clona cartão de crédito remotamente via celular

Cibercriminosos desenvolveram uma nova plataforma MaaS chamada SuperCard X. O modelo MaaS (malware-as-a-service) permite que pessoas aluguem ferramentas criminosas para realizar ataques cibernéticos. No caso, o SuperCard X facilita ataques que abusam da conexão NFC em celulares Android para roubo financeiro.

A novidade no mundo do cibercrime tem, inicialmente, apenas italianos como alvos. A SuperCard X, que permite que criminosos obtenham dados de cartões de crédito, é ofertada em diversos canais no Telegram, afirma a empresa de cibersegurança Cleafy.

Em relatório, a Cleafy deixa claro os cinco principais pontos que envolvem o SuperCard X:

• Malware SuperCard X: novo malware Android oferecido por meio de MaaS que permite ataques de retransmissão NFC para saques fraudulentos
• Ameaças em Evolução: avanço contínuo do malware mobile no setor financeiro, com a retransmissão NFC representando uma nova capacidade significativa
• Vetores combinados: abordagem em várias etapas, combinando engenharia social (por meio de smishing e chamadas telefônicas), instalação de aplicativos maliciosos e interceptação de dados NFC para fraudes
• Baixa taxa de detecção: O SuperCard X atualmente apresenta uma baixa taxa de detecção entre as soluções antivírus devido à sua funcionalidade focada e modelo de permissão minimalista
• Escopo do alvo: O esquema de fraude tem como alvo clientes de instituições bancárias e emissoras de cartões, com o objetivo de comprometer dados de cartões de pagamento.

Leia também: WhatsApp ganha modo “Privacidade Avançada” para conversas; saiba como funciona

Quem é o responsável pela SuperCard X?

A plataforma maliciosa é operada por cibercriminosos que se comunicam no idioma chinês, segundo as investigações.

O malware em questão ainda traz em seu código muitas similares com o já conhecido malware NGate, revelado pela ESET em 2024.

Como as vítimas são atacadas?

O vírus é enviado por meio de golpes phishing “simples”: mensagens falsas enviadas via SMS ou WhatsApp para alvos definidos. As mensagens simulam textos urgentes sobre transações bancárias enviadas por bancos e trazem um contato telefônico para mais detalhes.

Na sequência, a vítima é levada para uma central telefônica falsa, um golpe já bem conhecido no Brasil. O atendente falso, com dados das vítimas em mãos, manipula o suficiente para capturar informações mais precisas sobre códigos e PINs bancários.

Então, a sequência de todo o golpe começa e termina assim, de acordo com a Cleafy:

• Obtenção de PIN: Explorando a potencial ansiedade da vítima em relação à transação fraudulenta, os assistentes de segurança a convencem a “redefinir” ou “verificar” seu cartão. Como as vítimas geralmente não se lembram do PIN imediatamente, os invasores as guiam pelo aplicativo de banco para recuperar essas informações confidenciais
• Remoção do limite do cartão: Após conquistar a confiança da vítima e, potencialmente, o acesso ao aplicativo bancário, os atacantes instruem a vítima a navegar até as configurações do cartão em seu aplicativo bancário e remover quaisquer limites de gastos existentes em seu cartão de débito ou crédito
• Instalação de app: Posteriormente, os atacantes convencem a vítima a instalar um aplicativo aparentemente inofensivo. Um link para esse aplicativo malicioso, muitas vezes disfarçado de ferramenta de segurança ou utilitário de verificação, é enviado por SMS ou WhatsApp. Sem o conhecimento da vítima, esse aplicativo oculta o malware SuperCard X, incorporando a funcionalidade de retransmissão NFC
• Captura de dados NFC: Como etapa final da manipulação, os atacantes instruem a vítima a aproximar seu cartão físico de débito ou crédito do dispositivo móvel infectado. O malware SuperCard X captura silenciosamente os detalhes do cartão transmitidos via NFC. Esses dados são interceptados em tempo real e retransmitidos por meio de uma infraestrutura de Comando e Controle (C2) para um segundo dispositivo Android controlado pelo invasor
• Saque Fraudulento: Após a retransmissão bem-sucedida dos dados do cartão da vítima, os atacantes utilizam seu segundo dispositivo para realizar transações não autorizadas. Isso normalmente envolve pagamentos por aproximação em terminais POS ou, ainda mais alarmante, saques em dinheiro por aproximação em caixas eletrônicos

“Ao contrário dos cenários tradicionais de fraude, como transferências eletrônicas, que podem levar até dois dias úteis para serem processadas, permitindo tempo para detecção e intervenção, esse tipo de ataque é executado instantaneamente”, comenta a empresa. “Ele se assemelha a um ‘pagamento instantâneo’, mas com a vantagem adicional para o invasor de obter acesso imediato aos bens ou serviços adquiridos. Isso cria um benefício duplo para o fraudador: a rápida movimentação dos fundos roubados e a usabilidade imediata da transação fraudulenta”.

Como se proteger

As proteções em ataques como esse são diversas: elas envolvem desde a desconfiança sobre mensagens urgentes recebidas, o uso de segundo fator de autenticação, o uso de antivírus até o contato próximo e pró-ativo com o banco responsável por suas contas.

Como a Cleafy nota, esse ataque se baseia em técnicas de engenharia social relativamente simples, mas se mostra altamente eficaz. “O uso de múltiplos vetores de ataque na mesma campanha de fraude adiciona outra camada de complexidade. Essa abordagem multicanal impõe desafios adicionais aos esforços de monitoramento e destaca a crescente necessidade de recursos de detecção em tempo real”, finaliza.

Quer saber mais? Acompanhe o relatório completo aqui. Para mais notícias sobre o mundo do cibercrime, acompanhe a editoria Segurança aqui no TecMundo!