NFC

Ataques de retransmissão por NFC

Veja como os criminosos exploram o conhecido recurso “pagamento por aproximação” para roubar seu dinheiro.

Stan Kaminsky
28 jan 2026

Graças à conveniência dos pagamentos por NFC e por smartphones, muitas pessoas não carregam mais carteiras e nem lembram os PINs dos cartões bancários. Todos os cartões delas estão cadastrados em um aplicativo de pagamento, e usá-lo é mais rápido do que ficar procurando um cartão físico. Os pagamentos móveis também são seguros. Esta tecnologia foi desenvolvida há relativamente pouco tempo e inclui várias proteções antifraude. Ainda assim, os criminosos inventaram várias maneiras de usar o NFC para fins ilícitos e roubar o seu dinheiro. Felizmente, proteger seus fundos é simples: conheça os seguintes truques e evite situações arriscadas envolvendo o uso de NFC.

O que é retransmissão NFC e NFCGate?

A retransmissão NFC é uma técnica em que dados transmitidos sem fio entre uma fonte (como um cartão bancário) e um receptor (como um terminal de pagamento) são interceptados por um dispositivo intermediário e retransmitidos em tempo real para outro. Imagine que você tenha dois smartphones conectados pela Internet, cada um com um aplicativo de retransmissão instalado. Se você encostar um cartão bancário físico no primeiro smartphone e segurar o segundo smartphone próximo a um terminal ou caixa eletrônico, o aplicativo de retransmissão no primeiro smartphone lerá o sinal do cartão por meio de NFC e o transmitirá em tempo real para o segundo smartphone, que então, transmitirá esse sinal ao terminal. Do ponto de vista do terminal, parece que houve a aproximação de um cartão real, mesmo que o cartão em si esteja fisicamente em outra cidade ou país.

Essa tecnologia não foi originalmente criada para fins criminosos. O aplicativo NFCGate surgiu em 2015 como uma ferramenta de pesquisa depois de ter sido desenvolvido por estudantes da Universidade Técnica de Darmstadt, na Alemanha. Ele foi projetado para analisar e depurar o tráfego de NFC, bem como para fins educacionais e para realizar experimentos com a tecnologia por aproximação. O NFCGate foi distribuído como uma solução de código aberto e usado em círculos acadêmicos e por entusiastas.

Cinco anos depois, os cibercriminosos perceberam o potencial da retransmissão NFC e modificaram o NFCGate adicionando mods que permitiam sua execução por um servidor malicioso, seu disfarce como software legítimo e a criação de cenários de engenharia social.

O que começou como um projeto de pesquisa se transformou na base de uma classe inteira de ataques destinados a drenar contas bancárias sem a necessidade de acesso físico a cartões bancários.

Um histórico de uso indevido

Os primeiros ataques documentados usando um NFCGate modificado ocorreram no final de 2023 na República Tcheca. No início de 2025, isso havia se tornado um problema perceptível e de grande escala: os analistas de segurança cibernética descobriram mais de 80 amostras exclusivas de malware embutidas na estrutura do NFCGate. Os ataques evoluíram rapidamente e os recursos de retransmissão NFC foram sendo integrados a outros componentes de malware.

Em fevereiro de 2025, surgiram pacotes de malware que combinavam CraxsRAT e NFCGate, o que permitiu que os invasores instalassem e configurassem o retransmissor com o mínimo de interação da vítima. Um novo golpe, a chamada versão “reversa” do NFCGate, surgiu na primavera de 2025, alterando o modo de execução do ataque.

O trojan RatOn, detectado pela primeira vez na República Tcheca, é digno de destaque. Ele combina o controle remoto do smartphone com recursos de retransmissão NFC, permitindo que os invasores explorem os aplicativos e cartões bancários das vítimas usando várias combinações de técnicas. Recursos como captura de tela, manipulação de dados da área de transferência e envio de SMS, além do roubo de informações de carteiras de criptomoedas e de aplicativos bancários, fornecem aos criminosos um arsenal extenso.

Os cibercriminosos também incorporaram a tecnologia de retransmissão NFC em ofertas de malware como serviço (MaaS) e as revenderam a outros agentes de ameaças por meio de uma assinatura. No início de 2025, analistas descobriram uma nova e sofisticada campanha de malware para Android na Itália, apelidada de SuperCard X. Tentativas de implementar o SuperCard X foram registradas na Rússia em maio de 2025 e no Brasil em agosto do mesmo ano.

O ataque direto ao NFCGate

O ataque direto é o golpe criminoso original para a exploração do NFCGate. Nesse cenário, o smartphone da vítima desempenha o papel de leitor, enquanto o telefone do invasor atua como o emulador de cartão.

Primeiro, os fraudadores induzem o usuário a instalar um aplicativo malicioso disfarçado de serviço bancário, uma atualização de sistema, um aplicativo para garantir a “segurança da conta” ou até mesmo um aplicativo popular, como o TikTok. Ao ser instalado, o aplicativo obtém acesso ao NFC e à Internet, geralmente sem solicitar permissões perigosas ou acesso root. Algumas versões também solicitam acesso aos recursos de acessibilidade do Android.

Em seguida, sob o pretexto de realizar uma verificação de identidade, a vítima é solicitada a aproximar o seu cartão bancário do telefone. Quando isso acontece, o malware lê as informações do cartão por meio do NFC e as envia de imediato para o servidor dos criminosos. A partir daí, as informações são retransmitidas para um segundo smartphone pertencente a uma “mula financeira”, que ajuda a roubar o dinheiro. Este telefone então emula o cartão da vítima para fazer pagamentos em um terminal ou sacar dinheiro de um caixa eletrônico.

O aplicativo falso no smartphone da vítima também solicita o PIN do cartão (assim como ocorre em um terminal de pagamento ou caixa eletrônico) e o envia aos invasores.

Nas primeiras versões do ataque, os criminosos simplesmente ficavam a postos em um caixa eletrônico com um telefone para usar o cartão de uma vítima em tempo real. Com o tempo, o malware foi refinado para que as informações roubadas pudessem ser usadas para fazer compras em estabelecimentos em um modo off-line atrasado, em vez de uma retransmissão instantânea.

É difícil para a vítima perceber o roubo: o cartão nunca saiu de perto dela e não foi necessário inserir manualmente ou informar seus dados em voz alta, além de que as notificações sobre os saques enviadas pelo banco podem atrasar ou até mesmo serem interceptadas pelo próprio aplicativo malicioso.

Entre os sinais de alerta que devem fazer você suspeitar de um ataque direto de NFC estão:

pedidos para instalar aplicativos que não estejam em lojas oficiais;
solicitações para aproximar seu cartão bancário do telefone.

O ataque NFCGate reverso

O ataque reverso é um golpe mais recente e mais sofisticado. Não é mais necessário que o smartphone da vítima leia seu cartão, pois ele emula o cartão do invasor. Para a vítima, tudo parece completamente seguro: não há necessidade de informar os dados do cartão em voz alta, compartilhar códigos ou aproximar um cartão do telefone.

Assim como no golpe direto, tudo começa com a engenharia social. O usuário recebe uma ligação ou uma mensagem convencendo-o a instalar um aplicativo para fins de “pagamentos por aproximação”, “segurança do cartão” ou até mesmo “usar moeda digital do banco central”. Após o aplicativo ter sido instalado, aparece uma mensagem solicitando que ele seja definido como o método de pagamento por aproximação padrão. Esta etapa é extremamente importante. Graças a isso, o malware não precisa de acesso root, apenas do consentimento do usuário.

O aplicativo malicioso se conecta silenciosamente ao servidor do invasor em segundo plano e os dados de NFC de um cartão que pertence a um dos criminosos são transmitidos ao dispositivo da vítima. A vítima nem percebe que isso ocorre, o que torna essa etapa completamente invisível.

Em seguida, ela é instruída a se dirigir a um caixa eletrônico. Sob o pretexto de “transferir dinheiro para uma conta segura” ou “enviar dinheiro para si mesma”, solicita-se que ela aproxime o telefone do leitor NFC do caixa eletrônico. Mas agora, o caixa eletrônico está, na verdade, interagindo com o cartão do invasor. Um PIN “novo” ou “temporário” é informado à vítima com antecedência.

E o resultado é que todo o dinheiro depositado ou transferido por ela acaba na conta dos criminosos.

As características desse ataque são:

solicitações para alterar seu método de pagamento por NFC padrão;
um PIN “novo”;
qualquer situação em que você seja instruído a ir até um caixa eletrônico e executar ações seguindo as instruções de outra pessoa.

Como se proteger de ataques de retransmissão NFC

Os ataques de retransmissão NFC dependem mais da confiança do usuário do que de vulnerabilidades técnicas. Para se defender contra eles, basta tomar algumas precauções simples.

Mantenha o seu método de pagamento por aproximação confiável (como Google Pay ou Samsung Pay) como o padrão.
Nunca aproxime o seu cartão bancário do telefone a pedido de outra pessoa ou por instrução de um aplicativo. Aplicativos legítimos podem usar sua câmera para verificar o número de um cartão, mas eles nunca solicitarão que você use o leitor NFC para o seu próprio cartão.
Nunca siga instruções de estranhos em um caixa eletrônico, não importa quem eles afirmem ser.
Evite instalar aplicativos de fontes não oficiais. Isso inclui links enviados por aplicativos de mensagens, mídias sociais, SMS ou links recomendados durante uma chamada telefônica, ainda que a pessoa alegue ser do suporte ao cliente ou da polícia.
Use segurança abrangente nos seus smartphones Android para bloquear chamadas fraudulentas, impedir visitas a sites de phishing e interromper a instalação de malware.
Confie apenas nas lojas de aplicativos oficiais. Ao baixar um aplicativo de uma loja, verifique as avaliações, o número de downloads, a data de publicação e a classificação.
Ao usar um caixa eletrônico, use o seu cartão físico em vez do smartphone para fazer a transação.
Crie o hábito de verificar com frequência a configuração de “Pagamento padrão” no menu NFC do seu telefone. Se algum aplicativo suspeito estiver listado, remova-o imediatamente e faça uma verificação de segurança completa no seu dispositivo.
Revise a lista de aplicativos com permissões de acessibilidade (é comum que esse recurso seja explorado por malware). Revogue essas permissões para qualquer aplicativo suspeito ou desinstale os aplicativos.
Salve os números oficiais de atendimento ao cliente dos bancos de que você é cliente nos contatos do telefone. Ao menor indício de golpe, ligue diretamente para um desses números sem demora.
Se você suspeitar que os dados do seu cartão tenham sido comprometidos, bloqueie-o imediatamente.

A IA e a nova realidade da sextorsão

A IA generativa levou as técnicas de sextorsão a um nível totalmente novo: agora, qualquer usuário de mídia social pode se tornar uma vítima. Como você pode proteger a si mesmo e as pessoas que você ama?

FERRAMENTAS GRATUITAS

Ataques de retransmissão por NFC

O que é retransmissão NFC e NFCGate?

Um histórico de uso indevido

O ataque direto ao NFCGate

O ataque NFCGate reverso

Como se proteger de ataques de retransmissão NFC

O Infostealer entrou no chat

Violação em webcams ao estilo coreano: 120 mil câmeras IP hackeadas

A IA e a nova realidade da sextorsão

Dicas

A IA e a nova realidade da sextorsão

Por que as empresas devem rastrear seus gêmeos digitais maliciosos

Resoluções de cibersegurança para 2026

Infraestrutura de TI esquecida: ainda pior do que a TI invisível

Soluções domésticas

Produtos para pequenas empresas

Produtos para empresas médias

Soluções corporativas

Securelist

Eugene Personal Blog