Malware de Android usa página falsa de loteria para roubar cartões de pagamento

21 abr Malware de Android usa página falsa de loteria para roubar cartões de pagamento

Posted at 08:00h in Tech-Pt-br by

Uma nova variante do malware NGate está sendo usada em ataques direcionados a usuários Android no Brasil. Agora, a ameaça se passa pelo aplicativo HandyPay, um utilitário legítimo de compartilhamento de dados via NFC. O objetivo dos criminosos é capturar dados de cartões de pagamento para realizar saques e transações não autorizadas. A descoberta é da empresa de cibersegurança ESET.

O NGate foi identificado pela primeira vez pelos pesquisadores da ESET em 2024, mas eles acreditam que o grupo está ativo na República Tcheca desde novembro de 2023. Em março de 2024, o grupo aprimorou suas táticas com a implantação do malware NGate para Android. E em novembro do mesmo ano, o grupo iniciou seus avanços na América Latina.

O código malicioso injetado no HandyPay parece ter sido desenvolvido com ajuda de Inteligência Artificial generativa. Isso porque os pesquisadores encontraram nos logs do malware emojis, uma linguagem típica dos textos gerados por IA.

Ao raspar os símbolos, o resultado é sempre um prêmio de R$ 20.000 (esquerda), e a vítima é convidada a abrir o WhatsApp por meio de um botão com os dizeres: ‘Resgatar meu prêmio agora’ (tradução automática) para reivindicar a recompensa (direita). Imagem: ESET.

“Observamos sinais de que ferramentas de inteligência artificial podem ter sido utilizadas no desenvolvimento desse malware, o que reforça um movimento importante: a redução da barreira técnica para a criação de ameaças mais sofisticadas”, afirma Lukáš Štefanko, pesquisador da ESET responsável pela descoberta.

Como funciona o ataque?

A distribuição do malware no Brasil acontece por dois vetores hospedados no mesmo domínio. O primeiro é uma página falsa que imita a loteria gerida pela organização de loteria do Estado do Rio de Janeiro (Loterj). O site mostra um jogo de raspadinha, no qual a vítima sempre sorteia R$ 20 mil.

Para resgatar o valor, a vítima é direcionada para o WhatsApp com uma mensagem pré-preenchida para um perfil que usa a imagem da Caixa Econômica Federal.

Mensagem pré-preenchida enviada automaticamente ao WhatsApp após a vítima “ganhar” R$ 20 mil na raspadinha falsa da Loterj — o contato usa a imagem da Caixa Econômica Federal para parecer legítimo. Imagem: ESET.

O segundo vetor usa uma página falsa da Google Play Store, chamada “Proteção Cartão”, que mostra um suposto aplicativo que protege cartões da vítima. O usuário é instruído a instalar o aplicativo manualmente, usando o arquivo APK, que infecta o dispositivo da vítima com o HandyPay falso.

O que o NGate pode fazer?

Depois da instalação, o app pede para ser definido como o meio de pagamento padrão do celular, uma funcionalidade legítima do HandyPay que não levanta suspeitas. Depois disso, a vítima precisa digitar o PIN do cartão e aproximá-lo do celular com o NFC ativado. É aqui que o golpe começa.

Isso porque, nesse processo, o PIN é capturado por um campo de texto malicioso e enviado via HTTP para o servidor de comando e controle dos criminosos.

O malware se aproveita da funcionalidade NFC do celular para capturar os dados do cartão no momento em que a vítima o aproxima do dispositivo.

Enquanto os criminosos capturam o PIN, os dados do cartão obtidos via NFC são enviados para os dispositivos dos criminosos por meio da própria estrutura do HandyPay. Até mesmo o e-mail do cibercriminoso fica embutido no código do aplicativo, de forma a garantir que todo o tráfego de informações seja direcionado a ele.

“Com esses dados em mãos, os criminosos conseguem realizar saques em caixas eletrônicos com tecnologia por aproximação ou efetuar pagamentos não autorizados”, explica Štefanko.

Uso de IA torna o malware mais barato do que MaaS

Um aspecto que chama atenção nesta campanha é o possível uso de IA generativa para criar o código malicioso. Os criminosos optaram por modificar um aplicativo legítimo em vez de utilizar ferramentas já disponíveis no mercado ilegal, como, por exmplo, o “malware como serviço” (MaaS).

O NGate está ativo desde novembro de 2023 na República Tcheca e chegou ao Brasil no fim de 2024, segundo a ESET.

Segundo a ESET, essa escolha pode estar relacionada ao custo, já que soluções prontas de malware como serviço podem chegar a centenas de dólares por mês, enquanto o aplicativo utilizado tem custo significativamente inferior.

“Esse tipo de estratégia mostra que os atacantes estão buscando alternativas mais acessíveis e discretas para conduzir suas operações, reduzindo custos e evitando levantar suspeitas durante o ataque”, acrescenta Štefanko.

A ESET também destacou que a versão maliciosa do aplicativo nunca esteve disponível na loja oficial Google Play e que as descobertas foram compartilhadas com o Google e com os desenvolvedores do app legítimo.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.