Uma nova campanha do malware NGate está atingindo usuários Android no Brasil. A ameaça agora se passa pelo aplicativo HandyPay, originalmente legítimo, com o objetivo de capturar dados de cartões e realizar transações fraudulentas. A descoberta foi feita pela ESET.
Evolução do ataque e uso de IA
Identificado inicialmente em 2024, o NGate já vinha sendo usado na República Tcheca desde 2023. Ao longo do tempo, o grupo por trás da ameaça aprimorou suas técnicas e expandiu a atuação para a América Latina.
Pesquisadores apontam indícios de uso de inteligência artificial generativa no desenvolvimento do código malicioso, como padrões de linguagem incomuns e uso de emojis nos logs — algo que sugere a redução da barreira técnica para criar malwares mais sofisticados.
Como o golpe funciona
A campanha no Brasil utiliza dois principais vetores de ataque hospedados no mesmo domínio:
- Um site falso que imita a loteria da Loterj, prometendo prêmios de até R$ 20 mil
- Uma página falsa da Google Play Store chamada “Proteção Cartão”
Em ambos os casos, a vítima é induzida a baixar manualmente um APK infectado ou a entrar em contato via WhatsApp com um perfil que se passa pela Caixa Econômica Federal.
Roubo de dados via NFC
Depois de instalado, o app solicita permissões e pede para ser definido como método de pagamento padrão — o que não levanta suspeitas. Em seguida, orienta o usuário a inserir o PIN e aproximar o cartão do celular com NFC ativado.
Nesse momento, o golpe acontece:
- O PIN é capturado e enviado aos criminosos
- Os dados do cartão são lidos via NFC e transmitidos para dispositivos controlados pelos atacantes
Com essas informações, os criminosos conseguem realizar saques em caixas eletrônicos por aproximação ou efetuar pagamentos não autorizados.
Estratégia mais barata e discreta
Um ponto que chama atenção é a escolha dos criminosos por modificar um app legítimo em vez de usar soluções de “malware como serviço” (MaaS). Segundo a ESET, isso reduz custos e diminui a chance de detecção.
Além disso, a empresa reforçou que a versão maliciosa nunca esteve disponível na loja oficial e que o caso já foi comunicado ao Google e aos desenvolvedores do aplicativo original.
O cenário mostra uma tendência clara: ataques mais acessíveis, silenciosos e cada vez mais difíceis de identificar.
