14 ago PhantomCard: App na Play Store consegue clonar cartões de crédito por meio de NFC

Posted at 17:30h in Tech-Pt-br by

Embora seja um facilitador, a tecnologia do NFC também é um prato cheio para criminosos. O recurso, chamado comumente de pagamento por aproximação, é alvo de um novo golpe que imita um aplicativo para proteger cartões, o PhantomCard – quando a vítima registra o cartão, tem seus dados roubados.

Esse malware foi descoberto por pesquisadores da Threat Fabric, que identificaram uma série de ataques no Brasil. O principal suspeito por trás dessas fraudes é o hacker “Go1ano”, que já esteve relacionado com outros golpes ligados ao setor bancário no passado.

Entenda: ‘Golpistas do Amor’ são acusados de roubar mais de R$ 540 milhões nos EUA

Um dos principais problemas é a forma com que esse agente malicioso é distribuído: pela Google Play Store. Na verdade, o criminoso criou uma página que mimetiza exatamente o marketplace da companhia, adicionando um senso de segurança forte para que usuários desavisados mordam a isca.

O que é o malware PhantomCard?

Antes de tudo, é preciso entender que o PhantomCard é um novo tipo de malware que se disfarça do app “Proteção Cartões”. O relatório da Threat Fabric indica que esse agente é baseado em um malware-as-a-service (MaaS) de origem chinesa.

Em outras palavras, um MaaS é um software ou serviço ilegal vendido por um hacker, ou grupo criminoso. É como se um hacker vendesse uma ratoeira toda programada e especializada para capturar um rato, que, neste caso, é a vítima. Assim, o utilizador do PhantomCard não precisa ter conhecimentos avançados para usar a ferramenta, visto que ela foi desenvolvida para ser simples e de uso prático.

Neste caso, o responsável pelo PhantomCard é o cibercriminoso conhecido como “Go1ano”. Os especialistas apontam que em julho de 2025 esse atacante trabalhava com um malware chamado “GHOST NFC CARD”, que criava números de cartões falsos e, por alguma falha no sistema, eram aceitos em determinadas transações financeiras.

Aplicativo PhantomCard para os criminosos tem até uma página de login para eles se conectarem (Imagem: Threat Fabric)

O PhantomCard tem uma premissa diferente. Esse malware rouba os dados do cartão de crédito físico da vítima e retransmite as informações em tempo real para o criminoso. Dessa forma, é possível que o hacker use o cartão como se fosse dele.

Leia também: Golpistas usam sites falsos do governo para roubar dados e dinheiro via Pix

Uma característica distinta desse malware é que ele funciona como um “relé de dados”. Diferente de outros golpes que pegam dados presentes em um celular, o PhantomCard usa a tecnologia do NFC como uma ponte, e quando a vítima aproxima seu cartão, os dados são retransmitidos automaticamente para o atacante.

Como o golpe do NFC funciona?

Assim como diversos golpes recorrem a técnicas de engenharia social para enganar suas vítimas, o PhantomCard não é nada diferente. Na verdade, essa fraude usa a técnica de phishing, que recorre a sites falsos ou emails adulterados para roubar informações.

Página da Play Store é extremamente parecida com a versão web da loja (Imagem: Threat Fabric)

O atacante “Go1ano” criou uma página da Play Store na internet extremamente similar ao marketplace real. Lá, reside o falso app “Proteção Cartões”, que tem até mesmo avaliações de usuários falsificadas para passar a sensação de segurança inexistente. Basta baixar e instalar o app para o golpe realmente começar.

Após instalado e aberto, o app solicita que o usuário posicione seu cartão na parte traseira do celular’;Com isso feito, o malware identificará e lerá os dados do cartão;Durante a leitura, os dados já serão prontamente enviados ao criminoso, que terá em mãos o número e nome do cartão;Depois, o malware pede que a vítima insira a senha de quatro ou seis dígitos do cartão;A parte final do golpe exibe uma mensagem de processamento dos dados, como se o app realmente estivesse criando camadas de proteção.

Com todas essas etapas concluídas, o golpe está feito. A tecnologia de NFC envia ao cibercriminoso o número, nome e data de vencimento do cartão. O último encaixe do quebra-cabeça era senha, pedida posteriormente pelo aplicativo, e com tudo isso, a fraude é finalizada.

O criminoso explicou o passo a passo do golpe em seu canal do Telegram (Imagem: Threat Fabric)

NFC na mira do crime

Ao analisar as raízes do PhantomCard, os pesquisadores da Threat Fabric descobriram não somente a origem chinesa desse malware, como também seu real nome. Esse é o NFU Pay, um serviço clandestino amplamente disponível no mercado de crimes cibernéticos e similar a outras fraudes, como o SuperCardX e o KingNFC.

A conclusão dos especialistas é que Go1ano comprou uma versão modificada e especialmente desenvolvida para o nosso sistema bancário. O motivo? A sigla “baxi”, palavra chinesa para “Brasil”, foi encontrada nas linhas de código do malware, indicando que o software foi customizado para funcionar aqui.

Descubra: Novo vírus Android clona cartão de crédito remotamente via celular

No entanto, o próprio Go1ano explica em um canal do Telegram que essa aplicação funciona globalmente. A mensagem automatizada no app de conversas indica que o serviço é “100% indetectável” e tem compatibilidade na Europa, América Latina, África, China, EUA e Japão.

Vale notar, inclusive, que o hacker é considerado agora como uma espécie de “distribuidor local” para o PhantomCard. Com a venda irrestrita do malware no Telegram, talvez seja questão de tempo até que mais golpes sejam descobertos por pesquisadores e autoridades no futuro.

Para mais informações sobre novos golpes e segurança no mundo da tecnologia, fique ligado no site do TecMundo