Malware SuperCard X Mobile: como uma nova ameaça para Android está sequestrando pagamentos sem contato
Uma plataforma de malware móvel recém-descoberta, conhecida como SuperCard X, está redefinindo a forma como os cibercriminosos exploram smartphones, representando um novo desafio para bancos, emissores de cartões e usuários. Ao contrário dos trojans bancários tradicionais ou golpes de phishing, esse malware apresenta um método de ataque mais avançado, sutil e coordenado: a manipulação de retransmissão de comunicação de campo próximo (NFC).
Desenvolvido por um grupo de ameaças de língua chinesa, o SuperCard X é categorizado como uma oferta de malware como serviço (MaaS). Em resumo, é um kit de ferramentas para crimes cibernéticos disponível para aluguel. Ao utilizar recursos NFC em smartphones Android , o malware permite que invasores capturem dados do cartão e realizem transações fraudulentas — sem acesso físico ao cartão da vítima.
Table of Contents
Como o golpe começa: a engenharia social em sua essência
O ataque começa com uma convincente campanha de engenharia social. As vítimas recebem mensagens enganosas — geralmente via SMS ou WhatsApp — alegando ser do seu banco. Essas mensagens alertam sobre atividades suspeitas e incentivam os destinatários a ligar para um número específico. A urgência e a aparência de legitimidade levam muitos a agir sem verificar a origem da mensagem.
O que se segue é um método conhecido como Ataque Orientado por Telefone (TOAD). Na ligação, os golpistas se passam por representantes de bancos e instruem a vítima a instalar o que alegam ser um aplicativo de segurança. Na realidade, trata-se de uma das várias versões disfarçadas do malware SuperCard X, como "Verifica Carta", "SuperCard X" ou "KingCard NFC".
Uma vez instalado, o aplicativo solicita permissões confidenciais e estabelece um vínculo com o sistema do invasor. Às vezes, as vítimas são persuadidas a revelar seus PINs ou remover os limites diários da conta, o que facilita muito a fraude.
NFC: A nova fronteira para fraudes financeiras
O ponto central da capacidade do SuperCard X é o uso inovador de técnicas de retransmissão NFC . Os invasores convencem as vítimas a aproximar fisicamente seus cartões de crédito ou débito dos celulares infectados. O malware então lê silenciosamente os dados NFC transmitidos pelo cartão e os encaminha para um servidor externo em tempo real.
Do lado do invasor, um aplicativo complementar — apelidado de "Tapper" — emula o cartão usando as informações roubadas. O criminoso pode então usar esse clone virtual para sacar dinheiro em caixas eletrônicos ou pagar em terminais de pagamento por aproximação como se fosse o titular legítimo do cartão.
Este método é particularmente eficaz para caixas eletrônicos sem contato e sistemas PoS, que dependem de dados NFC para autenticação, mas não conseguem detectar facilmente que o cartão foi clonado remotamente.
A infraestrutura nos bastidores
O SuperCard X não é apenas um aplicativo — é um ecossistema completo de fraudes. Antes de distribuir o malware, os cibercriminosos precisam criar uma conta na plataforma. Cada instância do malware é vinculada a essa conta, permitindo a comunicação entre o dispositivo do usuário infectado (Reader) e o dispositivo do criminoso (Tapper).
Curiosamente, cada aplicativo Reader parece ser personalizado para campanhas específicas, com pequenas variações em suas interfaces de login. Isso sugere que os agentes de ameaças afiliadas estão adaptando os aplicativos para atingir diferentes regiões ou instituições.
A comunicação entre dispositivos é criptografada usando TLS mútuo (mTLS) , um avanço em relação aos padrões de criptografia comuns em malwares móveis. Essa camada adicional ajuda os invasores a permanecerem discretos, protegendo seu tráfego de comando e controle (C2).
As implicações mais amplas
O que torna o SuperCard X particularmente preocupante não é apenas sua engenhosidade técnica, mas também suas implicações para o ecossistema financeiro em geral. Ao contornar a autenticação online tradicional e optar diretamente pela infraestrutura sem contato, ele abre uma superfície de ataque relativamente desprotegida.
Embora esta campanha tenha se concentrado até agora na Itália, as técnicas subjacentes podem facilmente se espalhar para outros países. Provedores de pagamento, instituições financeiras e desenvolvedores de sistemas operacionais móveis são todos potenciais interessados na luta para conter esta ameaça.
Em resposta, o Google estaria trabalhando em novos recursos do Android para mitigar esses riscos. Entre eles, estão restrições à instalação de aplicativos de fontes desconhecidas ou à concessão de permissões confidenciais, como acesso de acessibilidade — especialmente durante uma chamada, quando os ataques TOAD costumam ocorrer.
Mantendo-se seguro: dicas práticas para usuários
No momento, o SuperCard X não é distribuído pela Google Play Store, mas isso não significa que não represente um risco. Os usuários devem ter cautela ao instalar aplicativos de terceiros, especialmente se solicitados a fazê-lo durante uma ligação telefônica. Aqui estão algumas precauções importantes:
- Evite instalar aplicativos de fontes desconhecidas, a menos que seja absolutamente necessário.
- Desconfie de mensagens urgentes que dizem ser de bancos. Verifique-as pelos canais oficiais.
- Mantenha o Google Play Protect ativado para detectar aplicativos potencialmente perigosos.
- Analise as permissões do aplicativo e verifique as avaliações antes de instalar qualquer coisa nova.
O SuperCard X representa um avanço na fraude financeira por meio de dispositivos móveis, combinando manipulação, sofisticação técnica e discrição. Embora o malware tenha escopo limitado no momento, seu impacto potencial é vasto, tornando a conscientização e a vigilância as melhores linhas de defesa.
