{"id":530964,"date":"2026-04-21T08:00:00","date_gmt":"2026-04-21T11:00:00","guid":{"rendered":"https:\/\/www.portaltela.com\/noticias\/2026\/04\/21\/malware-android-usa-pagina-falsa-de-loteria-para-roubar-cartoes-de-pagamento\/"},"modified":"2026-04-21T08:00:00","modified_gmt":"2026-04-21T11:00:00","slug":"malware-android-usa-pagina-falsa-de-loteria-para-roubar-cartoes-de-pagamento","status":"publish","type":"post","link":"https:\/\/www.portaltela.com\/noticias\/ciencia\/2026\/04\/21\/malware-android-usa-pagina-falsa-de-loteria-para-roubar-cartoes-de-pagamento\/","title":{"rendered":"Malware Android usa p\u00e1gina falsa de loteria para roubar cart\u00f5es de pagamento"},"content":{"rendered":"<p>O malware NGate volta a atuar no Brasil ao usar uma p\u00e1gina falsa da Loterj e uma c\u00f3pia da Google Play para distribuir uma vers\u00e3o maliciosa do HandyPay. O objetivo \u00e9 capturar PINs e dados de pagamento via NFC, para saques e transa\u00e7\u00f5es n\u00e3o autorizadas. A leitura \u00e9 da empresa de ciberseguran\u00e7a ESET.<\/p>\n<p>A campanha segmenta usu\u00e1rios Android no Brasil. O NGate j\u00e1 tinha sido identificado pela ESET em 2024, com atividade na Rep\u00fablica Tcheca desde 2023 e expans\u00e3o para a Am\u00e9rica Latina em 2024. A variante brasileira utiliza o HandyPay como porta de entrada.<\/p>\n<p>O c\u00f3digo malicioso tem ind\u00edcios de uso de Intelig\u00eancia Artificial gerativa, conforme logs analisados pela ESET. Emojis aparecem nos textos gerados pelo malware, sugerindo automa\u00e7\u00e3o na cria\u00e7\u00e3o de instru\u00e7\u00f5es e mensagens. A equipe ressalta o avan\u00e7o t\u00e9cnico com IA no desenvolvimento de amea\u00e7as.<\/p>\n<h3>Como funciona o ataque<\/h3>\n<p>A distribui\u00e7\u00e3o ocorre por dois vetores hospedados no mesmo dom\u00ednio. Um deles \u00e9 uma p\u00e1gina falsa que imita a Loterj, apresentando um jogo de raspadinha com pr\u00eamio fixo de R$ 20 mil. A v\u00edtima \u00e9 convidada a enviar mensagens no WhatsApp para prosseguir.<\/p>\n<p>Outra via envolve uma c\u00f3pia da Google Play Store, com a app falsa chamada Prote\u00e7\u00e3o Cart\u00e3o. O usu\u00e1rio recebe instru\u00e7\u00f5es para instalar o APK manualmente, o que instala o HandyPay malicioso no dispositivo. A engenharia social facilita a instala\u00e7\u00e3o.<\/p>\n<p>Ap\u00f3s a instala\u00e7\u00e3o, o app tenta tornar-se meio de pagamento padr\u00e3o do celular e solicita o PIN. Com o NFC ativado, o usu\u00e1rio aproxima o cart\u00e3o, permitindo o registro dos dados. O PIN \u00e9 enviado a um servidor de comando e controle.<\/p>\n<p>Os dados do cart\u00e3o s\u00e3o transmitidos pela pr\u00f3pria infraestrutura do HandyPay comprometido, com o atacante recebendo o tr\u00e1fego. O e-mail do criminoso j\u00e1 vem embutido no c\u00f3digo para direcionar as informa\u00e7\u00f5es ao atacante.<\/p>\n<p>\u201cCom esses dados, os atacantes podem realizar saques em caixas eletr\u00f4nicos com NFC ou efetuar pagamentos n\u00e3o autorizados\u201d, detalha o pesquisador da ESET. A operabilidade depende da captura simult\u00e2nea de PIN e dados do cart\u00e3o.<\/p>\n<h3>Pontos adicionais<\/h3>\n<p>A ESET apontou que a vers\u00e3o maliciosa nunca esteve na loja Google Play oficial. As descobertas foram comunicadas ao Google e aos desenvolvedores do app leg\u00edtimo, para a\u00e7\u00f5es de mitiga\u00e7\u00e3o. O uso de IA no desenvolvimento da amea\u00e7a \u00e9 visto como uma forma de reduzir barreiras t\u00e9cnicas e custos.<\/p>\n","protected":false},"excerpt":{"rendered":"<ul>\n<li>Pesquisadores da ESET identificaram no Brasil uma campanha do NGate que usa o HandyPay, com uma p\u00e1gina falsa da Loterj e uma clonagem da Google Play para distribuir o malware.<\/li>\n<li>O objetivo \u00e9 capturar PIN e dados NFC de cart\u00f5es para saques ou pagamentos n\u00e3o autorizados, com uso de IA generativa no c\u00f3digo.<\/li>\n<li>O ataque utiliza dois vetores: uma raspadinha falsa da Loterj que promete R$ 20 mil e direciona a v\u00edtima ao WhatsApp; e uma p\u00e1gina falsa da Google Play chamada Prote\u00e7\u00e3o Cart\u00e3o para instalar o APK malicioso.<\/li>\n<li>Ap\u00f3s a instala\u00e7\u00e3o, o app pede para ser o meio de pagamento padr\u00e3o e a v\u00edtima digita o PIN enquanto aproxima o cart\u00e3o pelo NFC, enviando dados para o servidor dos criminosos.<\/li>\n<li>A ESET aponta que o NGate chegou ao Brasil no fim de 2024, pode ser mais barato que malware como servi\u00e7o e a vers\u00e3o maliciosa n\u00e3o esteve na loja oficial Google Play; autoridades e Google foram informados.<\/li>\n<\/ul>\n","protected":false},"author":15,"featured_media":530993,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"summary":"NGate usa p\u00e1gina falsa da loteria e Google Play clonada para distribuir HandyPay e capturar PIN e dados NFC de cart\u00f5es no Brasil","footnotes":""},"categories":[296,1],"tags":[84,104,86,189],"class_list":["post-530964","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciencia","category-noticias","tag-acontecimentos-internacionais","tag-apps","tag-internet","tag-tecnologia"],"_links":{"self":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/530964","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/comments?post=530964"}],"version-history":[{"count":0,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/530964\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media\/530993"}],"wp:attachment":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media?parent=530964"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/categories?post=530964"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/tags?post=530964"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}