Um novo malware para Android chamado DevilNFC está sendo usado em ataques de relay NFC contra clientes bancários na Europa e na América Latina. A ameaça combina engenharia social, captura de dados de cartão e bloqueio da tela do celular para manter a vítima presa durante a fraude.
A campanha começa com mensagens de phishing enviadas por SMS ou WhatsApp. As vítimas são direcionadas a uma página falsa que imita a Google Play Store e apresenta o aplicativo malicioso como uma atualização obrigatória de segurança de uma instituição bancária em espanhol.
Após a instalação, o DevilNFC ativa uma tela falsa de verificação bancária e utiliza o Modo Quiosque do Android para ocultar elementos do sistema e impedir que o usuário saia facilmente da interface. O botão de voltar também é desativado, aumentando o controle dos operadores sobre a sessão.
A arquitetura do malware permite que o aparelho da vítima funcione como leitor NFC, enquanto outro dispositivo controlado pelo criminoso atua como emulador de cartão. Esse mecanismo pode viabilizar transações fraudulentas em caixas eletrônicos ou terminais de pagamento compatíveis.
Os usuários devem evitar instalar aplicativos fora das lojas oficiais, desconfiar de supostas atualizações bancárias enviadas por mensagem e nunca informar o PIN do cartão em telas abertas a partir de links.
