Pesquisadores da ESET descobriram uma campanha que utiliza uma página falsa da Loterj e uma versão clonada da Google Play para disseminar uma variante maliciosa do aplicativo HandyPay, que captura PINs e dados NFC de cartões de crédito das vítimas.
O malware, chamado NGate, tem sido direcionado a usuários Android no Brasil. Ele se disfarça como um aplicativo legítimo de compartilhamento de dados via NFC. O principal objetivo dos atacantes é coletar informações de cartões de pagamento para realizar saques e transações fraudulentas.
Identificado pela primeira vez em 2024, o NGate acredita-se que esteja em atividade desde novembro de 2023 na República Tcheca e que começou a se expandir na América Latina em novembro do mesmo ano. Em março de 2024, o grupo melhorou suas táticas com o uso do malware no sistema Android.
Analisando o código malicioso, os especialistas notaram elementos que sugerem a utilização de Inteligência Artificial generativa para seu desenvolvimento. Sinais como a presença de emojis, que são comuns em textos gerados por AI, indicam essa possibilidade.
### Como Acontecem os Ataques?
Os ataques são realizados por meio de dois vetores hospedados no mesmo domínio. O primeiro consiste em uma página que imita a loteria do Estado do Rio de Janeiro, onde as vítimas são atraídas por um jogo de raspadinha, sempre ganhando R$ 20 mil. Para “resgatar” o prêmio, elas são levadas a enviar uma mensagem pré-formatada via WhatsApp para um contato que usa a imagem da Caixa Econômica Federal, o que dá uma fachada de legitimidade.
O segundo vetor é uma página falsa da Google Play, intitulada “Proteção Cartão”, que oferece um aplicativo supostamente voltado para proteção de cartões. Através de um arquivo APK, a vítima instala o HandyPay falso, que imediatamente pede para ser configurado como meio de pagamento padrão no celular. Nessa etapa, a vítima entra em um ciclo de captura de dados, onde seu PIN é coletado e enviado para os criminosos em um servidor remoto.
### O Que o NGate Pode Fazer?
Após a instalação, o aplicativo malicioso captura o PIN do cartão e também os dados via NFC, permitindo que os criminosos realizem saques ou pagamentos não autorizados. O código do aplicativo inclui o e-mail do cibercriminoso para assegurar que todas as informações sejam direcionadas a ele.
Um aspecto interessante desta campanha é o uso de IA generativa para desenvolver o malware, optando por modificar um aplicativo legítimo em vez de recorrer a soluções de malware já disponíveis no mercado negro, como o “malware como serviço” (MaaS). Essa escolha pode ser vista como uma estratégia para reduzir custos e evitar atraçar atenção dos usuários e de plataformas.
A ESET também destacou que a versão maliciosa do aplicativo nunca esteve disponível na Google Play Store oficial e que as descobertas relacionadas a essa ameaça foram compartilhadas com os desenvolvedores e o Google.
Acompanhe a TecMania para mais atualizações sobre segurança cibernética e tecnologia.