Em Alta Copa do Mundo NotíciasAcontecimentos internacionaisPessoasPolíticaConflitos

Converse com o Telinha

Telinha
Oi! Posso responder perguntas apenas com base nesta matéria. O que você quer saber?

Malware Android usa página falsa de loteria para roubar cartões de pagamento

NGate usa página falsa da loteria e Google Play clonada para distribuir HandyPay e capturar PIN e dados NFC de cartões no Brasil

Photo
0:00
Carregando...
0:00
  • Pesquisadores da ESET identificaram no Brasil uma campanha do NGate que usa o HandyPay, com uma página falsa da Loterj e uma clonagem da Google Play para distribuir o malware.
  • O objetivo é capturar PIN e dados NFC de cartões para saques ou pagamentos não autorizados, com uso de IA generativa no código.
  • O ataque utiliza dois vetores: uma raspadinha falsa da Loterj que promete R$ 20 mil e direciona a vítima ao WhatsApp; e uma página falsa da Google Play chamada Proteção Cartão para instalar o APK malicioso.
  • Após a instalação, o app pede para ser o meio de pagamento padrão e a vítima digita o PIN enquanto aproxima o cartão pelo NFC, enviando dados para o servidor dos criminosos.
  • A ESET aponta que o NGate chegou ao Brasil no fim de 2024, pode ser mais barato que malware como serviço e a versão maliciosa não esteve na loja oficial Google Play; autoridades e Google foram informados.

O malware NGate volta a atuar no Brasil ao usar uma página falsa da Loterj e uma cópia da Google Play para distribuir uma versão maliciosa do HandyPay. O objetivo é capturar PINs e dados de pagamento via NFC, para saques e transações não autorizadas. A leitura é da empresa de cibersegurança ESET.

A campanha segmenta usuários Android no Brasil. O NGate já tinha sido identificado pela ESET em 2024, com atividade na República Tcheca desde 2023 e expansão para a América Latina em 2024. A variante brasileira utiliza o HandyPay como porta de entrada.

O código malicioso tem indícios de uso de Inteligência Artificial gerativa, conforme logs analisados pela ESET. Emojis aparecem nos textos gerados pelo malware, sugerindo automação na criação de instruções e mensagens. A equipe ressalta o avanço técnico com IA no desenvolvimento de ameaças.

Como funciona o ataque

A distribuição ocorre por dois vetores hospedados no mesmo domínio. Um deles é uma página falsa que imita a Loterj, apresentando um jogo de raspadinha com prêmio fixo de R$ 20 mil. A vítima é convidada a enviar mensagens no WhatsApp para prosseguir.

Outra via envolve uma cópia da Google Play Store, com a app falsa chamada Proteção Cartão. O usuário recebe instruções para instalar o APK manualmente, o que instala o HandyPay malicioso no dispositivo. A engenharia social facilita a instalação.

Após a instalação, o app tenta tornar-se meio de pagamento padrão do celular e solicita o PIN. Com o NFC ativado, o usuário aproxima o cartão, permitindo o registro dos dados. O PIN é enviado a um servidor de comando e controle.

Os dados do cartão são transmitidos pela própria infraestrutura do HandyPay comprometido, com o atacante recebendo o tráfego. O e-mail do criminoso já vem embutido no código para direcionar as informações ao atacante.

“Com esses dados, os atacantes podem realizar saques em caixas eletrônicos com NFC ou efetuar pagamentos não autorizados”, detalha o pesquisador da ESET. A operabilidade depende da captura simultânea de PIN e dados do cartão.

Pontos adicionais

A ESET apontou que a versão maliciosa nunca esteve na loja Google Play oficial. As descobertas foram comunicadas ao Google e aos desenvolvedores do app legítimo, para ações de mitigação. O uso de IA no desenvolvimento da ameaça é visto como uma forma de reduzir barreiras técnicas e custos.

Comentários 0

Entre na conversa da comunidade

Os comentários não representam a opinião do Portal Tela; a responsabilidade é do autor da mensagem. Conecte-se para comentar

Veja Mais