Malware Android ataca bancos no Brasil via NFC (PhantomCard)

O que está acontecendo? Malware Android com foco em bancos no Brasil está usando NFC relay para roubar dados de cartões e realizar transações como se fosse você, em tempo real. O caso mais recente é o PhantomCard, um trojan detectado em 14 de agosto de 2025, que se passa por app de “proteção de cartões” e convence a vítima a encostar o cartão no celular para “verificar segurança”. Na prática, os dados são retransmitidos para o celular do criminoso, que finaliza compras ou saques em outro lugar — muitas vezes pedindo ainda o PIN do cartão.

O relatório técnico que motivou o alerta foi publicado pela ThreatFabric, detalhando a distribuição do PhantomCard via páginas falsas da Google Play (com reviews fraudulentas), foco inicial no Brasil e base em um Malware-as-a-Service de origem chinesa (NFU Pay).

Por que isso preocupa o Brasil agora

Além da popularização de carteiras digitais, o Pix por aproximação (NFC) entrou oficialmente na agenda do Banco Central em 2025, com padronização de comunicação entre dispositivos, etapa de confirmação e limite transacional sugerido de R$ 500 para a iniciação por aproximação — fatores que tornam o tema urgente para usuários e bancos.

Em paralelo, pesquisas recentes mostram que o ecossistema de NFC relay evoluiu com campanhas como SuperCard X (Europa) e ferramentas como KingNFC/X/Z/TX-NFC, indicando um mercado global de kits prontos para golpes sem contato — cenário no qual o Brasil vira alvo natural pela alta adoção de pagamentos instantâneos e por aproximação.

Como o PhantomCard funciona (e por que é eficaz)

1) Engenharia social “perfeita”

• Página falsa imitando a Google Play com reviews positivas.
• Nome do app: “Proteção Cartões” (pt-BR) para soar legítimo.

2) Uso do NFC do seu próprio celular

• O app pede para tocar o cartão no telefone; em seguida, exibe “Cartão detectado”.
• Nesse momento, o app relê os dados conforme o padrão ISO-DEP (ISO 14443-4) de cartões EMV e envia em tempo real para um servidor de relay controlado pelos criminosos.

3) Captura do PIN

• Para autenticar compras/saques, o trojan solicita o PIN (4 ou 6 dígitos) e o repassa ao operador do golpe.

4) “Celular do laranja”

• Do outro lado, o criminoso (ou mula) usa um segundo app que emula o cartão da vítima em um terminal POS/ATM. Para o banco e para a adquirente, a transação parece legítima: cartão real + PIN correto.

Por que é difícil de detectar? As transações parecem vir do cartão verdadeiro, com autenticação PIN; só metadados como local/estabelecimento podem indicar anomalia.

Indicadores de comprometimento (IoCs) — PhantomCard

Fonte: ThreatFabric (14/08/2025). Recomendamos bloquear e reportar imediatamente.

“Onda” global: outras peças que pressionam o usuário brasileiro

• SuperCard X: campanha na Itália, modelo MaaS, baixa taxa de detecção e fluxo parecido (smishing/ligação, remoção de limites, instalação do app, pedido de toque do cartão).
• Anatsa (TeaBot/Toddler): voltou a infectar dezenas de milhares via Google Play (app PDF fake), usando overlays e até mensagens de “manutenção programada” para ofuscar roubo — exemplo de como golpistas reinventam técnicas.
• PixPirate (Brasil): RAT com acessibilidade, oculta ícone, automatiza fraudes de Pix (on-device), intercepta SMS e executa transferências sem o usuário notar.

Risco extra em aparelhos rooted

Frameworks de root como KernelSU/APatch/SKRoot já tiveram falhas exploráveis que permitem a apps maliciosos virarem “gerente” do root e tomarem o dispositivo. Em um cenário com malware financeiro, isso amplia a superfície de ataque e quebra proteções bancárias. Se você faz root, redobre a cautela.

Como saber se você foi alvo (checklist rápido)

• Instalou recentemente um “proteção de cartão” fora da Play Store?
• Algum app pediu para encostar o cartão no celular para “validar/ativar”?
• Apareceram transações por aproximação que você não reconhece?
• O app pediu seu PIN do cartão (diferente de senha do app do banco)?

Se sim para qualquer item, remova o app, ative o Play Protect, troque senhas e avise seu banco pelo canal oficial (nunca pelo número enviado por SMS/WhatsApp).

Como se proteger (usuários)

Regra de ouro

Nenhum banco sério ou app de “segurança” pede para você tocar o cartão no celular para “verificar” algo. Desinstale qualquer app que peça isso.

Medidas práticas

• Instale só pela Google Play e desconfie de páginas que imitam a loja. Ative e mantenha o Play Protect.
• Nunca informe o PIN do cartão em apps fora do banco ou por ligação/mensagens.
• Atualize o Android e os apps bancários com frequência (patches mensais fecham brechas).
• Evite root; se já usa, entenda os riscos e mantenha tudo atualizado.
• Pix por aproximação: verifique os limites no seu banco, ative confirmação de pagamentos e notificações — isso ajuda a bloquear valores inesperados rapidamente.
• Eduque a família: golpes costumam começar por smishing (links por SMS/WhatsApp) ou ligações que simulam suporte.

O que bancos e fintechs podem fazer (resumo executivo)

• Detectar interações anômalas de NFC e bloqueios por telemetria in-app (ex.: leitura EMV fora de jornada).
• Aumentar fricção quando o dispositivo exibir comportamento de relay ou root detectado.
• Correlacionar metadados (local/merchant) e alertas de APDU fora do padrão EMV na jornada do cliente.
• Divulgar educação antifraude com exemplos reais de telas de engenharia social (sem alarmismo).

Dados e contexto brasileiro

• Pix por aproximação (NFC) está em implementação regulatória, com padronização técnica, limites por transação e etapas de confirmação definidas pelo BCB em 2025.
• No início de 2025, o Mecanismo Especial de Devolução (MED) registrou centenas de milhares de pedidos de devolução, com dezenas de milhões de reais estornados — reforço de que fraudes digitais são volumosas.

Perguntas frequentes (FAQ)

O que é um ataque por NFC relay?

É quando um app no seu celular lê os dados do cartão via NFC e “retransmite” para outro celular, que emula seu cartão em um terminal de pagamento/caixa eletrônico. Com PIN, a transação parece legítima.

O Pix por aproximação é inseguro?

O modelo prevê limites, confirmação de pagamento e padrões técnicos para reduzir risco. O risco maior vem de apps falsos e engenharia social fora da loja oficial. (Banco Central)

O PhantomCard está na Google Play?

Segundo o Google, não há versões conhecidas na Play; o golpe usa páginas falsas que imitam a loja. Mantenha o Play Protect ativado.

Posso ser afetado se usar só carteira digital (Google Wallet)?

Carteiras legítimas usam tokens dinâmicos que não expõem dados do cartão. O risco aqui é instalar o app malicioso que pede para tocar o cartão.

Passo a passo se você caiu no golpe

1. Bloqueie o cartão no app do banco e ligue para o número oficial (no verso do cartão/site).
2. Desinstale o app suspeito e rode o Play Protect.
3. Troque senhas do banco, e-mail e serviços críticos.
4. Conteste as transações no banco e registre boletim conforme orientação local.
5. Para Pix, utilize o MED pelo seu banco (quando aplicável) e acompanhe o processo. (Banco Central)

Considerações finais

A combinação de engenharia social, NFC relay e malware Android coloca o Brasil no centro de uma nova fase dos golpes financeiros móveis. Com PhantomCard e afins, o criminoso não precisa clonar plástico nem quebrar criptografia: ele faz você colaborar sem perceber. A defesa é disciplina de instalação, desconfiança ativa e limites inteligentes nas carteiras/pix por aproximação — enquanto bancos elevam a detecção in-app e reforçam educação ao usuário.