- D3Lab identifica nova onda de ataques tap-to-pay contra bancos europeus
- Malware Android usa NFC para copiar dados do cartão e PIN
- Criminosos hospedam arquivos maliciosos no GitHub para escapar de bloqueios
Uma nova onda de ataques cibernéticos está explorando a tecnologia tap-to-pay em celulares Android para esvaziar contas bancárias. A empresa de cibersegurança italiana D3Lab identificou o avanço da tática contra clientes de bancos na Itália e em outros países europeus, segundo alerta publicado pela firma. O golpe combina engenharia social com o chip NFC do aparelho o mesmo que autoriza pagamentos por aproximação.
O esquema começa com mensagens de urgência. A vítima recebe um aviso falso pedindo a atualização imediata do aplicativo do banco. Ao clicar, baixa um arquivo malicioso disfarçado. Uma vez instalado, o software exibe uma tela de verificação fraudulenta e orienta o usuário a encostar o cartão físico no verso do celular. Nesse momento, o malware lê os dados do chip via NFC, captura o PIN digitado e envia tudo aos criminosos.
Autoridades norte-americanas já vinham monitorando a tática. Prisões e comunicados enviados a bancos nos Estados Unidos nas últimas semanas mostram que a ameaça extrapolou o continente europeu. A D3Lab afirma que o grupo por trás desta leva altera continuamente os sites falsos, troca os bancos imitados e usa métodos de hospedagem mais difíceis de derrubar.
Por que o Android é o alvo preferido
A vulnerabilidade explorada não é uma falha técnica isolada é uma característica do próprio sistema operacional. No Android, aplicativos de terceiros conseguem acessar o chip NFC com relativa liberdade, o que permite ler informações de cartões por aproximação. No iOS, a Apple restringe severamente esse acesso, apenas o Apple Pay e aplicativos autorizados conseguem operar a antena para pagamentos.
Essa diferença arquitetural transforma o Android no ambiente natural para a fraude. O golpe dispensa clonagem física do cartão e não exige que o criminoso tenha contato com o plástico. Basta convencer a vítima a fazer o gesto que já virou rotina em qualquer maquininha.
A D3Lab relata que os arquivos maliciosos passaram a ser armazenados no GitHub, plataforma amplamente usada por desenvolvedores para compartilhar código. Os operadores publicam versões atualizadas com frequência, mudando nomes de bancos imitados e alterando trechos técnicos para escapar de listas de bloqueio. A rotatividade acelerada dificulta a resposta de bancos e provedores.
Exposição de quem usa cripto no Brasil
O golpe atinge diretamente o público que movimenta criptoativos. Muitos investidores brasileiros usam o mesmo aparelho Android para acessar o banco, receber PIX e operar em exchanges como Binance, Mercado Bitcoin e Coinbase. Um dispositivo comprometido por esse tipo de malware costuma vir com outros módulos, keyloggers, capturadores de SMS e sobreposição de telas em apps financeiros.
O timing agrava o cenário. Levantamentos recentes mostram que os hacks cripto bateram recorde no primeiro semestre de 2026, com 207 casos registrados. A onda de fraudes contra usuários finais soma-se a essa pressão, deslocando o vetor de ataque das corretoras para o bolso do investidor.
No Brasil, o Banco Central tem discutido regras mais duras para provedores de serviços de ativos virtuais. O regulador já aprovou novas exigências de capital para exchanges cripto a partir de 2027, mas o combate à fraude bancária mobile continua fragmentado entre Febraban, operadoras e fabricantes de celulares.
Como reduzir o risco no dia a dia
Especialistas em segurança recomendam medidas simples e imediatas. Nunca instalar aplicativos bancários fora da Play Store oficial. Desconfiar de mensagens que pedem “atualização urgente” com link direto. Manter o NFC do aparelho desligado quando não estiver em uso.
Bancos brasileiros permitem configurar limites separados para operações por aproximação, além de exigir biometria facial para transações acima de determinado valor. Ajustar esses limites reduz o prejuízo caso o aparelho seja infectado.