Uma nova ameaça cibernética está preocupando especialistas em segurança digital: o SuperCard X, um malware avançado que tem como alvo usuários de dispositivos Android. Identificado pela empresa de segurança móvel Cleafy, o SuperCard X representa um novo tipo de ataque baseado em retransmissão por NFC (Near Field Communication), tecnologia comum em pagamentos por aproximação.
Como funciona o golpe
Comercializado como um serviço por cibercriminosos, o SuperCard X é usado principalmente para realizar transações financeiras ilegítimas em terminais de pagamento e caixas eletrônicos, utilizando dados de cartões de crédito roubados. O golpe começa com o envio de uma mensagem falsa por SMS ou WhatsApp, alegando ser do banco da vítima e informando sobre uma suposta transação suspeita.
Ao seguir as instruções, a vítima entra em contato com um número de telefone onde é atendida por um falso representante bancário. Por meio de engenharia social, os golpistas convencem a pessoa a fornecer informações sensíveis, como número do cartão, senha e até a remover limites de gastos diretamente no app do banco.
Instalação do malware
O golpe culmina com a instalação de um aplicativo chamado “Reader”, apresentado como uma ferramenta de verificação de segurança. Na verdade, trata-se do SuperCard X. O app solicita poucas permissões — notavelmente o acesso ao NFC —, o que é suficiente para capturar os dados do chip do cartão de crédito quando a vítima encosta o cartão no aparelho.
As informações coletadas são então enviadas para os cibercriminosos, que utilizam um segundo aplicativo malicioso, chamado “Tapper”, em outro dispositivo Android. Com isso, conseguem emular o cartão da vítima e realizar pagamentos ou saques por aproximação, geralmente com valores baixos e de forma rápida, dificultando a detecção pelas instituições financeiras.
Origem e disseminação
O código do SuperCard X tem semelhanças com projetos anteriores como o NFCGate (código aberto) e sua versão maliciosa, NGate, usada em golpes semelhantes na Europa desde 2023. A Cleafy observou a atuação recente do malware na Itália, e a diversidade das variantes indica que os afiliados do serviço recebem versões personalizadas, adaptadas conforme o tipo de golpe e o perfil das vítimas.
Como se proteger
A SIAC Tecnologia alerta usuários e empresas para os seguintes cuidados:
Desconfie de mensagens com tom de urgência, mesmo que pareçam vir do seu banco.
Nunca forneça dados pessoais ou bancários por telefone ou mensagens.
Evite instalar aplicativos fora da loja oficial (Google Play Store).
Revise regularmente as permissões de apps instalados em seu dispositivo.
Mantenha o sistema operacional e os aplicativos atualizados.
O avanço do SuperCard X mostra como o cibercrime está evoluindo para explorar tecnologias do cotidiano, como o NFC. A conscientização e a prevenção continuam sendo as melhores formas de se proteger.