Aplicativos Android que usam NFC e HCE para roubar dados de pagamento estão aumentando – Against Invaders – Notícias de CyberSecurity para humanos.

Aplicativos Android que usam NFC e HCE para roubar dados de pagamento estão aumentando - Against Invaders - Notícias de CyberSecurity para humanos.

Aplicativos Android que usam NFC e HCE para roubar dados de pagamento estão aumentando

O Zimperium zLabs encontrou 760+ aplicativos Android abusando de NFC e HCE para roubar dados de pagamento, mostrando um aumento na fraude de retransmissão NFC desde abril de 2024.

Os pesquisadores do Zimperium zLabs detectaram mais de 760 aplicativos Android abusando da Near-Field Communication (NFC) e da Host Card Emulation (HCE) para roubar dados de pagamento e cometer fraudes, mostrando um rápido crescimento nos ataques de retransmissão NFC desde abril de 2024.

O malware NFC tem como alvo bancos, serviços de pagamento e portais governamentais em todo o mundo, incl. Bancos e reguladores russos, bancos europeus (PKO, ČSOB, NBS), bancos brasileiros, Google Pay e outros. Aplicativos maliciosos se passam por instituições confiáveis para atrair vítimas. As variantes operam como cadeias de ferramentas emparelhadas de “scanner/tapper” ou coletores de dados autônomos que exfiltram dados EMV para canais do Telegram, enviando IDs de dispositivos, números de cartão e datas de validade. Os aplicativos pedem que os usuários os definam como manipuladores de pagamento NFC padrão, enquanto os serviços em segundo plano processam as trocas de APDU.

Os operadores controlam remotamente os aplicativos por meio de um servidor de comando e controle. Eles enviam comandos simples para fazer login, registrar o dispositivo, retransmitir solicitações de terminal de cartão (APDUs), fornecer PINs, verificar status, emparelhar dispositivos, enviar atualizações ou enviar alertas do Telegram, permitindo que eles executem transações falsas sem que o usuário faça muito.

O registro contínuo de dispositivos e os fluxos de comandos dinâmicos complicam a detecção e a resposta.

De acordo com a Zimperium, desde abril de 2024, mais de 70 servidores de comando e controle (C2) e dezenas de bots do Telegram foram usados para atingir mais de 20 instituições em todo o mundo, principalmente bancos russos, por meio de centenas de variantes maliciosas de aplicativos habilitados para NFC.

“Com o rápido crescimento deTransações “Tap-to-Pay”, a NFC tornou-se um alvo cada vez mais atraente para os cibercriminosos. Esses aplicativos maliciosos exploram a permissão NFC do Android para roubar dados de pagamento diretamente dos dispositivos das vítimas, ilustrando por que essa técnica de ataque ganhou força significativa nos últimos meses.” conlcude o relatório publicado pela Zimperium.

“Instituições financeiras, fornecedores de telefonia móvel e usuários devem tratarqualquer aplicativo desconhecido ou desconhecido solicitando privilégios de pagamento NFCcomo alto risco.”

Os pesquisadores publicaram IOCs para esta campanha emeste repositório.

Siga-me no Twitter:@securityaffairseLinkedineMastodonte

PierluigiPaganini

(Assuntos de Segurança–hacking,Android)

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.