Desde 10 de abril, um único repositório no GitHub alojou 56 ficheiros falsos que se faziam passar por aplicações de bancos. Não eram apps de bancos. Eram cópias armadilhadas de uma família de malware chamada NFCShare, e o alvo não era a tua palavra-passe. Era pôr-te a entregar o cartão com as próprias mãos.
Habituámo-nos a pensar na fraude bancária como roubo de dados: alguém apanha as credenciais e entra na conta. Esta geração de ataques faz o contrário. Não tenta adivinhar o segredo do cartão; convence-te a aproximá-lo do telemóvel e lê o chip diretamente, como se fosses tu a passar o cartão num terminal. A vítima deixa de ser observada e passa a ser cúmplice involuntária.
Como funciona, passo a passo
O esquema foi documentado pelos investigadores da D3Lab, que seguem o NFCShare desde janeiro de 2026. A mecânica é metódica. Tudo começa num site de phishing que imita o banco e pede as credenciais. A seguir, surge o aviso familiar: «atualize a sua aplicação». O link não leva à Google Play, leva a um repositório no GitHub com um APK preparado. Instalada a falsa app, aparece um ecrã de «verificação de segurança» que pede para encostar o cartão à parte de trás do telemóvel. Nesse instante, o malware usa a interface IsoDep do Android e comandos EMV para ler o número do cartão, o tipo, a validade e o código de quatro dígitos que a vítima introduz a pensar que é um passo de segurança. Tudo isto segue, em direto, por WebSocket, para os servidores do atacante.
As campanhas mais recentes, a partir de 14 de maio, atingiram sobretudo bancos de Itália e Espanha, com nomes como Intesa, Sella, Nexi ou CaixaBank. Em janeiro o alvo tinha sido o Deutsche Bank, na Alemanha. A presença de Espanha devia chegar para nos tirar o conforto da distância: a fronteira do crime digital é a mesma da Península.
Não é um problema italiano nem espanhol. O NFCShare pertence à mesma vaga que o NGate, já assinalado pela ESET e noticiado em Portugal, com o mesmo guião: site falso, app instalada fora da loja, pedido para aproximar o cartão. Muda o código, não muda o gesto que querem de ti.
Porque é tão eficaz
Há duas decisões inteligentes neste ataque, e ambas merecem atenção. A primeira é a escolha do GitHub para distribuir o ficheiro. É uma plataforma que toda a gente associa a programadores e a software legítimo, por isso um link que lá aterra parece menos suspeito do que um anexo de email. A confiança na marca passa a fazer parte da arma. A segunda é o empacotamento malformado dos APKs nas versões mais novas, desenhado para enganar as ferramentas automáticas de análise e ganhar tempo antes da deteção.
Quem trabalha em investigação digital reconhece o problema pelo lado oposto. Quando é a própria vítima a encostar o cartão, a leitura tem a aparência de uma operação legítima. A diferença entre um gesto autorizado e um gesto enganado não está nos dados, está na intenção, e a intenção não fica gravada no chip. É por isso que estes esquemas são difíceis de provar depois do facto, e por isso que a melhor defesa continua a ser não chegar a esse ponto.
Como te proteges
A boa notícia é que o ataque depende de fazeres três coisas, e basta recusar uma:
- Instala aplicações bancárias apenas pela Google Play ou App Store. Um banco nunca te manda «atualizar» a app por um link de SMS, email ou site.
- Desconfia de qualquer ecrã que peça para encostar o cartão físico ao telemóvel. Nenhum banco precisa disso para te «verificar».
- Mantém o Play Protect ativo e revê que aplicações têm acesso ao NFC e aos serviços de acessibilidade sem razão para isso.
- Se já instalaste uma app destas, desinstala, desativa o NFC e contacta o banco antes de qualquer movimento na conta.
A engenharia destes golpes melhora a cada versão, mas o ponto de entrada é quase sempre o mesmo: um pedido para fazeres algo que o teu banco nunca te pediria. Quando a dúvida aparece, ela já é a resposta.
Fonte original: Bleeping Computer.
#StaySafe
🙏🖖