Novas variantes do malware **NFCShare** para Android estão se espalhando através de falsas atualizações para aplicativos bancários legítimos, hospedadas principalmente no **GitHub**. Esta ameaça em evolução agora visa clientes de inúmeros bancos e instituições financeiras na Europa, alavancando uma sofisticada campanha de phishing projetada para roubar dados de cartões de pagamento. ### Como o Ataque se Desenrola O ataque geralmente começa com as vítimas encontrando um site de phishing que se passa por um banco real, o que as leva a inserir suas credenciais bancárias. Após isso, os usuários são incentivados a atualizar seu aplicativo bancário e são redirecionados para um repositório no **GitHub** contendo um arquivo APK malicioso. Embora os pesquisadores da **D3Lab**, que rastreiam a atividade do **NFCShare** desde janeiro de 2026, não tenham observado diretamente esses métodos nos ataques mais recentes, campanhas semelhantes frequentemente incorporaram mensagens SMS ou chamadas telefônicas de falsos representantes bancários como parte do processo de engenharia social. ### Detalhes Técnicos do Roubo de Dados Uma vez instalado, o malware engana as vítimas com uma tela de verificação falsa, instruindo-as a colocar seus cartões de pagamento perto do chip de comunicação por campo de proximidade (NFC) do dispositivo móvel. O **NFCShare** então utiliza a interface **IsoDep** do Android e comandos **EMV** para ler as informações do cartão.  O malware rouba sistematicamente o número do cartão, tipo, data de validade e um PIN de 4 dígitos, que a vítima é solicitada a inserir sob o pretexto de uma etapa de segurança. Esses dados sensíveis são então exfiltrados para o host de comando e controle (C2) do atacante via um canal WebSocket. As informações roubadas podem subsequentemente ser exploradas em esquemas de retransmissão de pagamentos NFC, uma técnica também vista em malwares como **NGate**, **SuperCard X** e **RelayNFC**. ### Expansão de Alcance e Táticas de Evasão Os ataques recentes do **NFCShare**, observados a partir de 14 de maio, destacam o escopo de direcionamento expandido do malware. O repositório no **GitHub**, criado em 10 de abril, hospedou 56 APKs únicos que se passam por aplicativos móveis de vários bancos, predominantemente da Itália e Espanha. Estes incluem **Intesa Carte**, **Sella Carte**, **Banca Sella Carte**, **Nexi Carte**, **Fideuram Carte**, **Mooney Carte**, **CaixaBank**, **CaixaBankNfc** e **CaixaReactivaTarjeta**.  Anteriormente, em janeiro, a **D3Lab** relatou que o malware visava exclusivamente o **Deutsche Bank** na Alemanha, indicando um alargamento significativo de seu foco geográfico e institucional. Um desenvolvimento interessante nas novas variantes do **NFCShare** é a introdução de pacotes APK malformados. Essa técnica, que envolve caminhos de arquivo corrompidos ou malformados dentro do arquivo ZIP do APK, é projetada para dificultar a análise automatizada e potencialmente contornar certas ferramentas de segurança. Embora possa interromper a análise estática em algumas ferramentas, a **D3Lab** observa que não impede a análise manual ou a recuperação de código. ### Proteja-se Contra o NFCShare Para profissionais de segurança de TI e usuários preocupados com a privacidade, a vigilância é fundamental. Para mitigar o risco de se tornar vítima do **NFCShare** e de malwares Android semelhantes, considere as seguintes melhores práticas: * **Baixe Aplicativos Oficialmente**: Sempre baixe aplicativos bancários exclusivamente de lojas de aplicativos oficiais como a Google Play. Evite links ou repositórios de terceiros, especialmente aqueles recebidos por e-mail, SMS ou sites suspeitos. * **Ative o Play Protect**: Certifique-se de que o Google Play Protect esteja ativado nos dispositivos Android, pois ele fornece uma camada de defesa contra aplicativos maliciosos. * **Tenha Cautela com Escaneamentos NFC**: Seja altamente desconfiado de quaisquer "solicitações de verificação" que o incentivem a escanear seu cartão de pagamento usando o chip NFC do seu dispositivo, particularmente fora de um ambiente de terminal de pagamento físico confiável. * **Verifique URLs**: Sempre verifique cuidadosamente o URL dos sites bancários para autenticidade antes de inserir credenciais. Sites de phishing frequentemente usam erros de digitação sutis ou domínios diferentes.