Novo malware Android rouba seus cartões de crédito para ataques de retransmissão NFC

Uma nova plataforma de malware-as-a-service (MaaS), chamada SuperCard X, surgiu visando dispositivos Android por meio de ataques de retransmissão NFC, permitindo transações em terminais de pagamento e caixas eletrônicos usando dados de cartões comprometidos.

O SuperCard X está ligado a hackers de língua chinesa e apresenta semelhanças de código com o projeto de código aberto NFCGate e sua versão maliciosa, NGate, que vem sendo usada em ataques na Europa desde o ano passado.

A plataforma MaaS é promovida em canais do Telegram, que também oferecem suporte direto aos “clientes”.

O SuperCard X foi descoberto pela empresa de segurança móvel Cleafy, que detectou ataques utilizando esse malware Android na Itália. Foram identificadas diversas amostras com pequenas variações, indicando que afiliados têm acesso a versões personalizadas adaptadas a diferentes regiões ou finalidades específicas.

Como ocorrem os ataques com SuperCard X

O ataque começa com o envio de mensagens falsas via SMS ou WhatsApp, se passando pelo banco da vítima e alegando que é necessário ligar para um número para resolver uma suposta transação suspeita.

Ao ligar, a vítima é atendida por um golpista que se passa por suporte bancário e utiliza engenharia social para convencê-la a “confirmar” o número e o PIN do cartão. Em seguida, tenta persuadi-la a remover limites de gastos pelo aplicativo do banco.

Por fim, o invasor induz a vítima a instalar um aplicativo malicioso (Reader), disfarçado como uma ferramenta de verificação ou segurança, que contém o malware SuperCard X.

Ao ser instalado, o app Reader solicita apenas permissões mínimas, especialmente acesso ao módulo NFC — o suficiente para realizar o roubo de dados.

O golpista instrui a vítima a encostar o cartão no telefone para “verificação”, permitindo ao malware ler os dados do chip e enviá-los ao hacker.

Esses dados são recebidos em outro dispositivo Android, que roda um app chamado Tapper, usado para emular o cartão da vítima com os dados roubados.

Esses “cartões emulados” permitem pagamentos por aproximação em lojas e saques em caixas eletrônicos, embora existam limites de valor. Como essas transações são pequenas e parecem legítimas para os bancos, são mais difíceis de detectar e reverter.

Malware furtivo

A Cleafy destaca que o SuperCard X ainda não é detectado por nenhum antivírus no VirusTotal. Como não solicita permissões arriscadas nem possui comportamentos agressivos como sobreposição de tela, ele passa despercebido por mecanismos heurísticos.

A emulação do cartão é baseada em ATR (Answer to Reset), fazendo com que o cartão pareça legítimo aos terminais de pagamento — um sinal de maturidade técnica e profundo conhecimento de protocolos de smartcards.

Outro ponto técnico relevante é o uso de mTLS (mutual TLS) para autenticação entre cliente e servidor com certificados, protegendo a comunicação entre o malware e seus servidores contra interceptações por pesquisadores ou autoridades.

Segundo um porta-voz do Google:

Via - BC