Na metade de 2025, chegou ao Brasil um novo tipo de fraude com cartões de crédito em que os criminosos convencem a vítima a aproximar seu cartão do celular para retransmitir dados e autorizar um pagamento de forma inesperada.
Talvez por ser relativamente nova, essa fraude é conhecida por diversos nomes, como "PhantomCard", "Ghost NFC", "NGate", "NFC Relay", ou "golpe de pagamentos Tap On".
Neste post, vamos explorar como a fraude funciona e compartilhar as descobertas mais recentes do Axur Research Team (ART) relacionadas a ela.
A fraude do PhantomCard é sustentada por uma tecnologia chamada de "Tap on Phone" ou "Tap to Pay", que transforma um smartphone em um dispositivo capaz de aceitar pagamentos por aproximação. Praticamente qualquer aparelho que opere com uma versão recente do Android e que tenha um rádio Near-field Communication (NFC) é compatível com esse protocolo.
Tendo em vista as tecnologias utilizadas, esse método de fraude também é às vezes chamado de "NFC Relay".
Embora o iPhone também seja compatível com essa modalidade de comunicação, existem barreiras para a instalação de aplicativos na plataforma da Apple que impõem algumas dificuldades para a realização da fraude. Como não foi observado algum caso em que os criminosos tentaram burlar essas restrições, o golpe basicamente vem se mantendo restrito ao Android.
Quando a vítima instala e executa o aplicativo malicioso promovido pelo golpista, o smartphone aguarda a aproximação de um cartão de crédito para se comunicar com ele como se fosse um terminal de pagamento.
A engenharia social é um componente fundamental da fraude, uma vez que o envolvimento da vítima é necessário em todas as etapas. Após executar o aplicativo, a vítima ainda precisa aproximar o cartão do dispositivo e, potencialmente, fornecer a senha (PIN) do cartão para autorizar transferências.
Para convencer a vítima a colaborar, a narrativa da fraude começa no próprio aplicativo, que é oferecido como um "autenticador de cartões" que vai desbloquear recursos ou aumentar a segurança do cartão. Com essa promessa, o app se apresenta como algo benéfico, tentando afastar qualquer possível suspeita sobre seu funcionamento.
Infelizmente, a funcionalidade prometida pelo aplicativo não existe. É apenas um pretexto elaborado para enganar as vítimas.
Se todas as instruções forem seguidas, o resultado é um cenário em que o smartphone atua como um intermediário (ou proxy) entre o criminoso e o cartão da vítima, retransmitindo os dados da comunicação.
Esses dados permitem que o criminoso autorize pagamentos fraudulentos, concluindo o objetivo da fraude.
Não se trata uma vulnerabilidade nos cartões, mas sim de um fluxo que tira proveito das funcionalidades do ecossistema Android para realizar uma retransmissão de dados e viabilizar uma fraude de pagamento.
Os aplicativos maliciosos que aplicam a fraude do PhantomCard são distribuídos em páginas falsas que imitam o visual da Play Store e prometem funções de "segurança".
Uma das páginas, por exemplo, promete:
Além de imitarem a Play Store, os aplicativos utilizam marcas de instituições financeiras ou outras empresas ligadas a cartões e pagamentos. A página falsa inclui avaliações falsificadas que reforçam a utilidade do aplicativo.
Por se tratar de uma página falsa, nada do que consta nesse ambiente é legítimo. Tudo foi preparado pelos golpistas para enganar as vítimas. Isso é muito importante para a fraude, uma vez que será necessário autorizar a instalação de aplicativos fora da Play Store para instalar o APK no smartphone.
As páginas observadas pelo ART, nomeadas de "Autenticação de cartões", trazem conteúdo datado do fim de setembro e de outubro de 2025, indicando que se trata de uma campanha relativamente recente.
Tendo em vista o idioma e as marcas utilizadas nas campanhas para disseminar os aplicativos falsos, é evidente que a fraude mira consumidores no Brasil.
No entanto, as características técnicas dos aplicativos falsos indicam um possível envolvimento com criminosos chineses. Dois aspectos são especialmente relevantes:
Fraudes utilizando a retransmissão de dados por NFC já vêm ocorrendo em diversos países, inclusive na China (onde também é conhecida como "NGate") e na Rússia.
Ao mesmo tempo, cabe observar que as fraudes mais associadas ao Brasil utilizam técnicas como o Ghost Hand ou a sobreposição de janelas para roubar dados e credenciais. A técnica de retransmissão em NFC diverge de maneira significativa desses ataques.
Em vista dessas evidências, é razoável supor que haja uma interação entre diversos operadores para viabilizar essa fraude também em território brasileiro.
Como a vítima da fraude não entende que seu cartão será cobrado ao aproximá-lo do smartphone, é bastante provável que as cobranças serão contestadas pelas vítimas. O resultado é uma situação que pode causar prejuízo para as partes envolvidas.
O monitoramento de marca combinado com o Takedown para derrubar os sites falsos é uma mitigação efetiva para essa fraude, uma vez que os golpistas recorrem a marcas conhecidas (especialmente de instituições financeiras) para disseminar os aplicativos maliciosos.
O monitoramento é especialmente eficaz para evitar os danos à marca decorrentes da confusão provocada pelo aplicativo falso que promete funções de segurança aos portadores do cartão.
A plataforma Axur oferece uma solução robusta de monitoramento de marca e Takedowns automatizados para mitigar essa ameaça.
|
TIPO |
BREVE DESCRIÇÃO |
VALOR |
|
Hash |
Hash do arquivo malicioso |
cb10953f39723427d697d06550fae2a330d7fff8fc42e034821e4a4c55f5a667 |
|
Hash |
Hash do arquivo malicioso |
a78ab0c38fc97406727e48f0eb5a803b1edb9da4a39e613f013b3c5b4736262f; |
|
Hash |
Hash do arquivo malicioso |
d6255e71bcde2dafd48dd1abea311cda13e5b6aa1f4836831621c9ff06d695c3 |
|
IPv4 |
Endereço de IP associado ao PhantomCard |
154[.]205[.]156[.]112 |
|
IPv4 |
Endereço de IP associado ao PhantomCard |
154[.]90[.]60[.]99 |
|
IPv4 |
Endereço de IP associado ao PhantomCard |
34[.]148[.]134[.]19 |
|
Domínio |
Domínio associado ao PhantomCard |
hxxps://5a341dc1-98f9-4264-859a-e8bc6d236024-00-1vfeomyys26m9[.]janeway[.]replit[.]dev |
O Fraud Neuron é um projeto de Modelagem de Ameaças Cibernéticas atualmente em desenvolvimento pela Equipe de Pesquisa da Axur em cooperação com nossos parceiros. O objetivo do projeto é oferecer um modelo que explique detalhadamente a realidade de fraudes observadas no Brasil e América Latina a partir da análise cooperativa de casos de fraudes digitais, possibilitando no futuro a criação de estatísticas e mecanismos de mitigação mais eficientes.
|
Tática |
Técnica |
Procedimento |
Descrição |
|
Identificação do alvo |
Tipos de alvos: alvos corporativos |
Instituições Financeiras |
Infiltração em bancos e prestadores de serviços financeiros |
|
Reconhecimento |
Coleta de dados: coleta técnica |
Varredura de infraestrutura |
Sondando redes e sistemas em busca de vulnerabilidades |
|
Reconhecimento |
Coleta de dados: coleta técnica |
Análise de Tráfego |
Interceptando e analisando o tráfego de rede |
|
Recursos |
Técnico |
Registro de Domínio |
Registrando sites enganosos |
|
Recursos |
Técnico |
Infraestrutura do servidor |
Configurando recursos de computação maliciosos |
|
Recursos |
Técnico |
Recursos de rede |
Estabelecendo infraestrutura de rede secreta |
|
Recursos |
Ferramentas |
Malware |
Distribuindo software malicioso para comprometer alvos |
|
Simulação de identidade |
Representação |
Representação de marca |
Imitando empresas legítimas |
|
Simulação de identidade |
Engano Técnico |
Clonagem de aplicativos |
Replicando aplicativos legítimos |
|
Conversão |
Extração Financeira |
Fraude de cartão |
Explorando dados de cartão de pagamento roubados |
|
Impactos |
Impactos Diretos |
Perda Monetária |
Roubar fundos diretamente das vítimas |
|
Impactos |
Impactos Diretos |
Compromisso de dados |
Expondo informações sensíveis |
|
Impactos |
Impactos Indiretos |
Danos à reputação |
Destruindo a confiança e a reputação da marca |