{"id":24664,"date":"2026-01-28T09:00:11","date_gmt":"2026-01-28T12:00:11","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=24664"},"modified":"2026-01-27T16:10:42","modified_gmt":"2026-01-27T19:10:42","slug":"nfc-gate-relay-attacks-2026","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/nfc-gate-relay-attacks-2026\/24664\/","title":{"rendered":"Ataques de retransmiss\u00e3o por NFC"},"content":{"rendered":"

Gra\u00e7as \u00e0 conveni\u00eancia dos pagamentos por NFC e por smartphones, muitas pessoas n\u00e3o carregam mais carteiras e nem lembram os PINs dos cart\u00f5es banc\u00e1rios. Todos os cart\u00f5es delas est\u00e3o cadastrados em um aplicativo de pagamento, e us\u00e1-lo \u00e9 mais r\u00e1pido do que ficar procurando um cart\u00e3o f\u00edsico. Os pagamentos m\u00f3veis tamb\u00e9m s\u00e3o seguros. Esta tecnologia foi desenvolvida h\u00e1 relativamente pouco tempo e inclui v\u00e1rias prote\u00e7\u00f5es antifraude. Ainda assim, os criminosos inventaram v\u00e1rias maneiras de usar o NFC para fins il\u00edcitos e roubar o seu dinheiro. Felizmente, proteger seus fundos \u00e9 simples: conhe\u00e7a os seguintes truques e evite situa\u00e7\u00f5es arriscadas envolvendo o uso de NFC.<\/p>\n

O que \u00e9 retransmiss\u00e3o NFC e NFCGate?<\/h2>\n

A retransmiss\u00e3o NFC \u00e9 uma t\u00e9cnica em que dados transmitidos sem fio entre uma fonte (como um cart\u00e3o banc\u00e1rio) e um receptor (como um terminal de pagamento) s\u00e3o interceptados por um dispositivo intermedi\u00e1rio e retransmitidos em tempo real para outro. Imagine que voc\u00ea tenha dois smartphones conectados pela Internet, cada um com um aplicativo de retransmiss\u00e3o instalado. Se voc\u00ea encostar um cart\u00e3o banc\u00e1rio f\u00edsico no primeiro smartphone e segurar o segundo smartphone pr\u00f3ximo a um terminal ou caixa eletr\u00f4nico, o aplicativo de retransmiss\u00e3o no primeiro smartphone ler\u00e1 o sinal do cart\u00e3o por meio de NFC e o transmitir\u00e1 em tempo real para o segundo smartphone, que ent\u00e3o, transmitir\u00e1 esse sinal ao terminal. Do ponto de vista do terminal, parece que houve a aproxima\u00e7\u00e3o de um cart\u00e3o real, mesmo que o cart\u00e3o em si esteja fisicamente em outra cidade ou pa\u00eds.<\/p>\n

Essa tecnologia n\u00e3o foi originalmente criada para fins criminosos. O aplicativo NFCGate surgiu em 2015 como uma ferramenta de pesquisa depois de ter sido desenvolvido por estudantes da Universidade T\u00e9cnica de Darmstadt, na Alemanha. Ele foi projetado para analisar e depurar o tr\u00e1fego de NFC, bem como para fins educacionais e para realizar experimentos com a tecnologia por aproxima\u00e7\u00e3o. O NFCGate foi distribu\u00eddo como uma solu\u00e7\u00e3o de c\u00f3digo aberto e usado em c\u00edrculos acad\u00eamicos e por entusiastas.<\/p>\n

Cinco anos depois, os cibercriminosos perceberam o potencial da retransmiss\u00e3o NFC e modificaram o NFCGate adicionando mods que permitiam sua execu\u00e7\u00e3o por um servidor malicioso, seu disfarce como software leg\u00edtimo e a cria\u00e7\u00e3o de cen\u00e1rios de engenharia social.<\/p>\n

O que come\u00e7ou como um projeto de pesquisa se transformou na base de uma classe inteira de ataques destinados a drenar contas banc\u00e1rias sem a necessidade de acesso f\u00edsico a cart\u00f5es banc\u00e1rios.<\/p>\n

Um hist\u00f3rico de uso indevido<\/h2>\n

Os primeiros ataques documentados usando um NFCGate modificado ocorreram no final de 2023 na Rep\u00fablica Tcheca. No in\u00edcio de 2025, isso havia se tornado um problema percept\u00edvel e de grande escala: os analistas de seguran\u00e7a cibern\u00e9tica descobriram mais de 80 amostras exclusivas de malware embutidas na estrutura do NFCGate. Os ataques evolu\u00edram rapidamente e os recursos de retransmiss\u00e3o NFC foram sendo integrados a outros componentes de malware.<\/p>\n

Em fevereiro de 2025, surgiram pacotes de malware que combinavam CraxsRAT e NFCGate, o que permitiu que os invasores instalassem e configurassem o retransmissor com o m\u00ednimo de intera\u00e7\u00e3o da v\u00edtima. Um novo golpe<\/a>, a chamada vers\u00e3o \u201creversa\u201d do NFCGate, surgiu na primavera de 2025, alterando o modo de execu\u00e7\u00e3o do ataque.<\/p>\n

O trojan RatOn<\/a>, detectado pela primeira vez na Rep\u00fablica Tcheca, \u00e9 digno de destaque. Ele combina o controle remoto do smartphone com recursos de retransmiss\u00e3o NFC, permitindo que os invasores explorem os aplicativos e cart\u00f5es banc\u00e1rios das v\u00edtimas usando v\u00e1rias combina\u00e7\u00f5es de t\u00e9cnicas. Recursos como captura de tela, manipula\u00e7\u00e3o de dados da \u00e1rea de transfer\u00eancia e envio de SMS, al\u00e9m do roubo de informa\u00e7\u00f5es de carteiras de criptomoedas e de aplicativos banc\u00e1rios, fornecem aos criminosos um arsenal extenso.<\/p>\n

Os cibercriminosos tamb\u00e9m incorporaram a tecnologia de retransmiss\u00e3o NFC em ofertas de malware como servi\u00e7o (MaaS) e as revenderam a outros agentes de amea\u00e7as por meio de uma assinatura. No in\u00edcio de 2025, analistas descobriram uma nova e sofisticada campanha de malware para Android na It\u00e1lia, apelidada de SuperCard X<\/a>. Tentativas de implementar o SuperCard X foram registradas na R\u00fassia em maio de 2025 e no Brasil em agosto do mesmo ano.<\/p>\n

O ataque direto ao NFCGate<\/h2>\n

O ataque direto \u00e9 o golpe criminoso original para a explora\u00e7\u00e3o do NFCGate. Nesse cen\u00e1rio, o smartphone da v\u00edtima desempenha o papel de leitor, enquanto o telefone do invasor atua como o emulador de cart\u00e3o.<\/p>\n

Primeiro, os fraudadores induzem o usu\u00e1rio a instalar um aplicativo malicioso disfar\u00e7ado de servi\u00e7o banc\u00e1rio, uma atualiza\u00e7\u00e3o de sistema, um aplicativo para garantir a \u201cseguran\u00e7a da conta\u201d ou at\u00e9 mesmo um aplicativo popular, como o TikTok. Ao ser instalado, o aplicativo obt\u00e9m acesso ao NFC e \u00e0 Internet, geralmente sem solicitar permiss\u00f5es perigosas<\/a> ou acesso root. Algumas vers\u00f5es tamb\u00e9m solicitam acesso aos recursos de acessibilidade do Android<\/a>.<\/p>\n

Em seguida, sob o pretexto de realizar uma verifica\u00e7\u00e3o de identidade, a v\u00edtima \u00e9 solicitada a aproximar o seu cart\u00e3o banc\u00e1rio do telefone. Quando isso acontece, o malware l\u00ea as informa\u00e7\u00f5es do cart\u00e3o por meio do NFC e as envia de imediato para o servidor dos criminosos. A partir da\u00ed, as informa\u00e7\u00f5es s\u00e3o retransmitidas para um segundo smartphone pertencente a uma \u201cmula financeira\u201d, que ajuda a roubar o dinheiro. Este telefone ent\u00e3o emula o cart\u00e3o da v\u00edtima para fazer pagamentos em um terminal ou sacar dinheiro de um caixa eletr\u00f4nico.<\/p>\n

O aplicativo falso no smartphone da v\u00edtima tamb\u00e9m solicita o PIN do cart\u00e3o (assim como ocorre em um terminal de pagamento ou caixa eletr\u00f4nico) e o envia aos invasores.<\/p>\n

Nas primeiras vers\u00f5es do ataque, os criminosos simplesmente ficavam a postos em um caixa eletr\u00f4nico com um telefone para usar o cart\u00e3o de uma v\u00edtima em tempo real. Com o tempo, o malware foi refinado para que as informa\u00e7\u00f5es roubadas pudessem ser usadas para fazer compras em estabelecimentos em um modo off-line atrasado, em vez de uma retransmiss\u00e3o instant\u00e2nea.<\/p>\n

\u00c9 dif\u00edcil para a v\u00edtima perceber o roubo: o cart\u00e3o nunca saiu de perto dela e n\u00e3o foi necess\u00e1rio inserir manualmente ou informar seus dados em voz alta, al\u00e9m de que as notifica\u00e7\u00f5es sobre os saques enviadas pelo banco podem atrasar ou at\u00e9 mesmo serem interceptadas pelo pr\u00f3prio aplicativo malicioso.<\/p>\n

Entre os sinais de alerta que devem fazer voc\u00ea suspeitar de um ataque direto de NFC est\u00e3o:<\/p>\n