Uma nova ameaça sofisticada de malware para Android, denominada DevilNFC, emergiu recentemente, combinando ataques de retransmissão NFC com um mecanismo de armadilha em modo kiosk que bloqueia as vítimas em uma tela bancária falsa até que os dados de seus cartões sejam roubados. A análise técnica detalhada revela que o malware atinge clientes na Europa e na América Latina com uma precisão técnica raramente vista em ferramentas construídas independentemente, marcando uma evolução significativa na ameaça de retransmissão NFC.
Descoberta e escopo da ameaça
Analistas da Cleafy, cuja equipe de Inteligência e Resposta a Ameaças identificou e analisou o malware, notaram que o DevilNFC é o mais avançado de duas famílias de retransmissão NFC recém-documentadas, sendo a outra a NFCMultiPay. Apesar de não compartilharem código ou infraestrutura, ambas as famílias estão conduzindo ataques de retransmissão NFC contra clientes bancários. O surgimento simultâneo em geografias sobrepostas marca um ponto de virada significativo na paisagem de ameaças de retransmissão NFC.
O ataque começa com uma mensagem de phishing via SMS ou WhatsApp, direcionando a vítima para uma página de aterrissagem que imita a Google Play Store. A página apresenta o aplicativo malicioso como uma atualização de segurança obrigatória de uma instituição bancária legítima de língua espanhola. Uma vez instalado, o malware ativa imediatamente e a vítima perde o controle do dispositivo sem perceber.
Modo kiosk como arma de contenção
O que torna o DevilNFC especialmente alarmante é o quão completamente ele isola a vítima. Ao iniciar, o malware bloqueia o dispositivo usando o Modo Kiosk do Android, exibindo um modelo de engenharia social buscado de um servidor remoto. A interface do sistema desaparece e o botão físico de voltar é desativado, prendendo a vítima dentro da interface fraudulenta enquanto a retransmissão é concluída.
Uma vez que a vítima abre o aplicativo, o DevilNFC ativa o Modo Kiosk para ocultar a interface do sistema e substituir o botão físico de voltar por um manipulador vazio. Isso prende a vítima dentro da interface maliciosa enquanto a sessão de retransmissão é concluída silenciosamente. Um pop-up de verificação falso renderizado remotamente de um modelo C2 então solicita que a vítima insira seu PIN de cartão de quatro dígitos após a primeira leitura do cartão.
O PIN é exfiltrado para dois destinos simultaneamente: um endpoint C2 dedicado e o canal privado do Telegram do atacante, enviado em texto claro junto com o nome do banco e o endereço IP público da vítima. A interface então deliberadamente dispara um erro de verificação falso, instruindo a vítima a manter o cartão por mais dez segundos. Isso é uma extensão projetada da janela de retransmissão, garantindo que a transação seja concluída antes que qualquer tela de sucesso apareça.
Arquitetura dual e exploração técnica
O DevilNFC usa uma arquitetura APK de função dupla, onde um único aplicativo serve como leitor NFC passivo no dispositivo não rootado da vítima e como emulador de cartão no hardware rootado do atacante. Isso é alcançado através de um framework de hooking que injeta o módulo de retransmissão do DevilNFC diretamente no processo de daemon NFC do Android. O resultado é um pipeline de retransmissão capaz de autorizar saques de caixas eletrônicos e transações chip-and-PIN em qualquer ponto de venda global.
A exploração técnica envolve a injeção direta no daemon NFC, permitindo que o malware intercepte e manipule as comunicações NFC em tempo real. A capacidade de operar em dispositivos não rootados é particularmente preocupante, pois amplia a superfície de ataque para uma base de usuários muito maior sem a necessidade de privilégios elevados no dispositivo da vítima.
Desenvolvimento assistido por IA e mudança de ameaça
Tanto as famílias de malware quanto o DevilNFC e o NFCMultiPay apresentam indicadores de desenvolvimento assistido por IA. No DevilNFC, os modelos de phishing do C2 ao vivo são superdimensionados em relação à sua função, apresentando CSS e JavaScript estruturados com precisão arquitetural e tratamento deliberado de casos de borda de erro. Os logs de depuração do NFCMultiPay mostram rótulos de métricas categorizados por emojis separados por bordas ASCII, um padrão característico de scaffolding de logging gerado por LLM.
Essa tendência é confirmada pela ESET Research, que em abril de 2025 identificou uma nova variante do NGate direcionada a usuários brasileiros, onde o código injetado carrega os mesmos indicadores de desenvolvimento de IA e strings em português. Grupos locais não estão mais comprando acesso a plataformas chinesas — eles estão construindo suas próprias ferramentas. Isso reduz significativamente a barreira para a construção de malware Android funcional.
Indicadores de comprometimento (IoCs)
Os seguintes indicadores de comprometimento foram identificados e devem ser monitorados em plataformas de inteligência de ameaças como MISP, VirusTotal ou SIEM:
- Domínio: nfcrackatm[.]com (Servidor C2 / Retransmissão DevilNFC)
- Domínio: spicynagets[.]shop (Servidor C2 / Retransmissão DevilNFC)
- IPv4: 185.203.116[.]18 (C2 NFCMultiPay)
- IPv4: 47.253.167[.]219 (C2 NFCMultiPay)
- MD5: caa5e8cf3275339d251210072ebe88c2 (Amostra APK DevilNFC)
- MD5: 35dd9c3a56e88a39bf6c8fdad46b0398 (Amostra APK NFCMultiPay)
- MD5: 9d19527aeb4cabfb40bbaea6d73b5ff0 (Amostra APK NFCMultiPay)
- Nome do Pacote: com.devilnfc.reader (APK DevilNFC)
Recomendações para executivos e CISOs
Os pesquisadores recomendam que os usuários evitem instalar aplicativos fora das lojas oficiais, nunca insiram um PIN de cartão em uma sessão que não iniciaram e relatem qualquer dispositivo bloqueado em uma interface de tela cheia para seu banco imediatamente. Para organizações, é crucial monitorar tráfego de rede para os domínios e IPs listados nos IoCs e garantir que os dispositivos móveis corporativos estejam protegidos por soluções de EDR móvel que possam detectar comportamentos anômalos de aplicativos NFC.
A implementação de políticas de segurança que restringem a instalação de aplicativos de fontes desconhecidas e a educação dos usuários sobre os riscos de clicar em links de SMS ou WhatsApp não verificados são medidas defensivas essenciais. Além disso, a revisão das configurações de NFC nos dispositivos corporativos para desabilitar a leitura automática de cartões pode mitigar o risco de retransmissão não autorizada.