Segundo a empresa Threat Fabric, a fraude foi desenvolvida por um cibercriminoso conhecido como “Go1ano”, já ligado a outros ataques contra bancos. O criminoso utiliza uma página que imita a Google Play Store para convencer os usuários a baixarem o aplicativo, criando uma falsa sensação de legitimidade.
O que é o PhantomCard? Entenda o malware que transforma o NFC em arma contra cartões físicos
O PhantomCard é um malware móvel que se disfarça como o aplicativo “Proteção Cartões”, mas, na prática, opera como uma ferramenta criminosa baseada no modelo malware-as-a-service (MaaS). Desenvolvido a partir de uma estrutura clandestina de origem chinesa, o código foi adaptado para o mercado brasileiro e passou a ser distribuído por um ator conhecido como Go1ano.
Diferente de golpes anteriores focados na geração de cartões virtuais fraudulentos, o PhantomCard representa uma evolução técnica: ele captura dados reais de cartões físicos via NFC e os retransmite em tempo real ao atacante, permitindo que o criminoso utilize o cartão como se estivesse fisicamente com ele.
Como o PhantomCard funciona na prática
O grande diferencial do PhantomCard está no seu modo de operação em relé, conhecido como relay attack. O aplicativo malicioso atua como intermediário entre o cartão físico da vítima e o dispositivo do criminoso.
Etapas do golpe com NFC
-
Distribuição via engenharia social: A vítima é induzida a baixar o aplicativo falso por meio de campanhas de phishing, mensagens via WhatsApp ou Telegram ou páginas fraudulentas que simulam instituições financeiras.
-
Solicitação de aproximação do cartão: Ao abrir o app, o usuário é instruído a aproximar o cartão da parte traseira do celular sob o pretexto de “ativar proteção” ou “validar segurança”.
-
Leitura dos dados via NFC: O malware captura informações armazenadas no chip, como:
-
Número do cartão (PAN)
-
Nome do titular
-
Data de validade
-
Dados técnicos do chip
-
-
Captura da senha (PIN)O aplicativo solicita que o usuário digite a senha do cartão, alegando ser parte do processo de validação.
-
Transmissão em tempo real ao criminosoEnquanto exibe uma tela de “processamento”, o app transmite os dados ao atacante, que pode utilizar essas informações imediatamente para transações fraudulentas.
Esse modelo elimina a necessidade de clonagem física tradicional, reduz riscos logísticos para o criminoso e acelera a monetização do golpe.
A conexão com o NFU Pay e o ecossistema MaaS
Segundo análise da empresa de cibersegurança ThreatFabric, o PhantomCard é uma versão customizada do software clandestino NFU Pay, vendido em fóruns underground.
Esse tipo de ferramenta funciona como um kit pronto, permitindo que criminosos comprem:
-
Infraestrutura de comando e controle
-
Código-fonte personalizável
-
Atualizações contínuas
-
Suporte técnico no submundo digital
O PhantomCard é comparável a outras soluções criminosas como SuperCardX e KingNFC.
Um detalhe revelador identificado no código foi a presença da palavra chinesa “baxi” (Brasil), indicando customização direcionada ao sistema financeiro brasileiro.
Alcance global e expansão do golpe
Embora adaptado para o Brasil, operadores do esquema divulgaram em canais do Telegram que a ferramenta seria “100% indetectável” e funcional também em:
-
Europa
-
América Latina
-
África
-
Estados Unidos
-
Japão
-
China
Esse padrão reforça uma tendência crítica: o crime cibernético está cada vez mais industrializado e globalizado, com distribuição em larga escala via canais abertos de mensageria.
O ator “Go1ano” atua como distribuidor, comercializando o malware publicamente, o que reduz barreiras de entrada para novos fraudadores.
Por que o PhantomCard representa uma evolução das fraudes NFC?
O PhantomCard é particularmente preocupante por três motivos estratégicos:
1️⃣ Explora tecnologia legítima
O NFC é amplamente utilizado para pagamentos por aproximação e autenticação digital. O ataque transforma uma funcionalidade legítima em vetor de fraude.
2️⃣ Combina técnica e engenharia social
O sucesso do golpe depende tanto da leitura técnica do chip quanto da manipulação psicológica da vítima.
3️⃣ Opera em tempo real
A transmissão instantânea reduz a janela de detecção e resposta por parte das instituições financeiras.
Impactos para instituições financeiras e empresas
Para bancos, fintechs e emissores de cartão, o PhantomCard amplia o risco operacional em diversas frentes:
-
Aumento de chargebacks
-
Perda de confiança do consumidor
-
Pressão regulatória
-
Necessidade de reforço em mecanismos antifraude
-
Desafios na detecção de transações NFC aparentemente legítimas
Além disso, o modelo MaaS acelera a proliferação de variantes, dificultando respostas reativas.
Como usuários podem se proteger
Embora o ataque seja sofisticado, medidas básicas reduzem significativamente o risco:
-
Não instalar aplicativos fora das lojas oficiais.
-
Desconfiar de apps que solicitam aproximação de cartão físico.
-
Nunca digitar a senha do cartão em aplicativos não bancários.
-
Manter o sistema operacional atualizado.
-
Ativar notificações em tempo real de transações.
Tendência: a profissionalização do crime NFC
O PhantomCard evidencia uma transformação estrutural no cibercrime financeiro:
-
Especialização de desenvolvedores de malware
-
Segmentação por país
-
Distribuição via Telegram
-
Suporte técnico clandestino
-
Modelo de assinatura
Esse ecossistema reduz drasticamente o nível técnico necessário para executar fraudes sofisticadas.
Conclusão
O PhantomCard não é apenas mais um malware bancário. Ele representa a convergência entre:
-
Engenharia social
-
Ataques de relé NFC
-
Modelo MaaS
-
Operação globalizada
Ao explorar a confiança do usuário e a popularização do pagamento por aproximação, o golpe amplia o risco para consumidores e instituições financeiras.
Mais do que um incidente isolado, trata-se de um indicativo claro de que o crime financeiro está evoluindo em velocidade superior à maturidade de defesa de muitos ecossistemas digitais.
A resposta exige monitoramento contínuo, inteligência de ameaças e atuação preventiva baseada em risco, não apenas reação a fraudes já consumadas.
