Como remover o trojan bancário PhantomCard/NFCShare do Android
Também conhecido como: Malware bancário PhantomCard/NFCShare
Faça uma verificação gratuita e verifique se o seu computador está infectado.
REMOVER AGORAPara usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk.
O que é PhantomCard/NFCShare?
PhantomCard e NFCShare são dois nomes atribuídos por investigadores ao mesmo trojan bancário para Android, que utiliza ataques de retransmissão NFC para roubar dados de cartões de pagamento contactless e PINs. A ThreatFabric nomeou a variante direcionada ao Brasil como PhantomCard; a D3Lab nomeou a variante direcionada à Itália como NFCShare. Ambas são variantes regionais da mesma família chinesa de Malware-as-a-Service conhecida como NFU Pay.
Visão geral do malware PhantomCard/NFCShare
O PhantomCard/NFCShare é construído em torno de ataques de retransmissão NFC. Uma vez instalada, a aplicação maliciosa apresenta um ecrã falso de verificação de cartão que diz à vítima para encostar o seu cartão de pagamento contactless na parte traseira do telemóvel. Nos bastidores, captura silenciosamente os dados do cartão através do leitor NFC integrado do dispositivo.
O ecrã falso imita uma verificação de segurança bancária genuína, guiando a vítima através de três passos: segurar o cartão perto do telemóvel, esperar que seja detetado e depois introduzir um PIN. As instruções assemelham-se bastante aos fluxos reais de verificação bancária, e muitas vítimas seguem-nas sem suspeitar de nada.
Uma vez capturados os dados do cartão e o PIN, são enviados em tempo real através de uma ligação WebSocket para servidores controlados pelos atacantes. Um criminoso do outro lado utiliza uma aplicação complementar para emular o cartão da vítima no seu próprio dispositivo.
Com esse cartão emulado, o atacante pode efetuar pagamentos contactless não autorizados em terminais de ponto de venda ou levantar dinheiro em ATMs. O cartão físico da vítima nunca sai das suas mãos - no entanto, o seu dinheiro pode ser roubado enquanto o cartão ainda está por perto.
O malware apareceu em duas campanhas regionais distintas. No Brasil, a ThreatFabric documentou-o como PhantomCard, fazendo-se passar por uma aplicação de "Proteção de Cartão" distribuída através de páginas falsas da Google Play Store completas com avaliações de utilizadores fabricadas. Em Itália, a D3Lab documentou-o como NFCShare, disseminado através de sites de phishing que se fazem passar pelo Deutsche Bank Italy, que instruem os visitantes a descarregar um ficheiro APK como uma suposta atualização da aplicação bancária.
Internamente, ambas as versões partilham a mesma base de código de retransmissão NFC, a mesma interface para a vítima (traduzida para o idioma local) e ofuscação de strings semelhante. A ThreatFabric atribui a plataforma ao NFU Pay, uma oferta chinesa de Malware-as-a-Service que permite aos operadores criar versões personalizadas direcionadas a regiões específicas com os seus próprios iscas bancárias.
O malware visa dados de cartões de pagamento EMV, e a versão NFCShare utiliza encriptação XOR através do NPStringFog para ocultar o endereço do seu servidor das ferramentas de segurança. Também contém strings incorporadas em língua chinesa consistentes com o mesmo toolkit.
É importante mencionar que os programadores de malware frequentemente melhoram o seu software e metodologias, pelo que versões futuras poderão adicionar novas capacidades. Em resumo, a presença do PhantomCard/NFCShare num dispositivo pode levar a perdas financeiras graves, sérios problemas de privacidade e roubo de identidade.
| Nome | Malware bancário PhantomCard/NFCShare |
| Tipo De Ameaça | Malware Android, aplicação maliciosa, trojan bancário. |
| Nomes De Deteção | Avast-Mobile (APK:RepMalware [Trj]), Combo Cleaner (Android.Riskware.SpyAgent.MI), ESET-NOD32 (Android/Spy.NGate.BZ Trojan), Kaspersky (HEUR:Trojan-Banker.AndroidOS.GhostNFC.e), Lista Completa (VirusTotal) |
| Sintomas | O dispositivo está lento, as configurações do sistema são modificadas sem a permissão do utilizador, aparecem aplicações questionáveis, o uso de dados e bateria aumenta significativamente, os navegadores redirecionam para sites questionáveis, anúncios intrusivos são exibidos. |
| Métodos De Distribuição | Páginas falsas da Google Play Store, sites de phishing que se fazem passar por instituições bancárias legítimas. |
| Danos | Dados de cartões de pagamento roubados (números de cartão, datas de validade, PINs), transações contactless não autorizadas, perdas monetárias, roubo de identidade. |
| Remoção do Malware (Windows) |
Para eliminar possíveis infecções por malware, verifique o seu computador com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner. Descarregar Combo CleanerO verificador gratuito verifica se o seu computador está infectado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk. |
Exemplos de trojans bancários
Exemplos de outros trojans bancários Android incluem Massiv, Sturnus e Klopatra. Tal como o PhantomCard/NFCShare, ameaças deste tipo exploram a confiança em interfaces bancárias familiares para realizar roubos sem que a vítima se aperceba de que algo está errado.
Independentemente da variante, o resultado final é o mesmo: credenciais de pagamento roubadas, transações não autorizadas e contas esvaziadas. Manter-se alerta a pedidos de download de aplicações não oficiais é uma das defesas mais eficazes.
Como é que o PhantomCard/NFCShare se infiltrou no meu dispositivo?
O PhantomCard/NFCShare chega às vítimas através de campanhas adaptadas a países específicos. No Brasil, propaga-se através de páginas falsas da Google Play Store que se fazem passar por uma aplicação legítima, completas com avaliações de utilizadores fabricadas. As vítimas que descarregam e instalam o APK dessas páginas concedem inadvertidamente ao trojan acesso ao hardware NFC do seu dispositivo.
Em Itália, o mesmo malware é distribuído através de sites de phishing que imitam o Deutsche Bank Italy. Estes sites pressionam os visitantes a descarregar um ficheiro APK descrito como uma atualização obrigatória da aplicação bancária, utilizando táticas de phishing para forçar uma instalação não oficial fora da loja de aplicações.
Trojans bancários deste tipo também se propagam através de links em mensagens SMS, publicações nas redes sociais e lojas de aplicações de terceiros. Qualquer aplicação que precise de ser descarregada através de um link no navegador em vez da Google Play Store oficial deve ser tratada com forte suspeita.
Como evitar a instalação de malware?
Descarregue aplicações apenas da Google Play Store oficial ou diretamente do site verificado do seu banco. Os bancos legítimos não pedem aos clientes para instalar atualizações de aplicações descarregando um ficheiro APK através de um link num SMS ou numa página web não oficial.
Mantenha o Android e todas as aplicações instaladas atualizadas, e utilize uma ferramenta de segurança móvel de confiança. Se alguma aplicação lhe pedir para encostar o seu cartão de pagamento no telemóvel ou introduzir o seu PIN fora da aplicação oficial do seu banco, pare imediatamente e contacte o seu banco através do número oficial para reportar o pedido.
Sobreposição falsa de verificação de cartão NFC do PhantomCard (variante em português, direcionada ao Brasil):
Sobreposição falsa de verificação de cartão NFC do NFCShare (variante em italiano, direcionada à Itália):
Menu rápido:
- Introdução
- Como eliminar o histórico de navegação do navegador Chrome?
- Como desativar as notificações do navegador Chrome?
- Como repor o navegador Chrome?
- Como eliminar o histórico de navegação do navegador Firefox?
- Como desativar as notificações do navegador Firefox?
- Como repor o navegador Firefox?
- Como desinstalar aplicações potencialmente indesejadas e/ou maliciosas?
- Como iniciar o dispositivo Android no "Modo de Segurança"?
- Como verificar o uso de bateria de várias aplicações?
- Como verificar o uso de dados de várias aplicações?
- Como instalar as atualizações de software mais recentes?
- Como repor o sistema para o estado predefinido?
- Como desativar aplicações com privilégios de administrador?
Eliminar o histórico de navegação do navegador Chrome:
Toque no botão "Menu" (três pontos no canto superior direito do ecrã) e selecione "Histórico" no menu suspenso aberto.
Toque em "Limpar dados de navegação", selecione o separador "AVANÇADO", escolha o intervalo de tempo e os tipos de dados que pretende eliminar e toque em "Limpar dados".
Desativar as notificações do navegador Chrome:
Toque no botão "Menu" (três pontos no canto superior direito do ecrã) e selecione "Definições" no menu suspenso aberto.
Desloque-se para baixo até ver a opção "Definições do site" e toque nela. Desloque-se para baixo até ver a opção "Notificações" e toque nela.
Encontre os sites que enviam notificações do navegador, toque neles e clique em "Limpar e repor". Isto irá remover as permissões concedidas a estes sites para enviar notificações. No entanto, ao visitar o mesmo site novamente, este poderá pedir permissão novamente. Pode escolher se concede ou não essas permissões (se optar por recusar, o site irá para a secção "Bloqueado" e não lhe pedirá mais a permissão).
Repor o navegador Chrome:
Vá a "Definições", desloque-se para baixo até ver "Aplicações" e toque.
Desloque-se para baixo até encontrar a aplicação "Chrome", selecione-a e toque na opção "Armazenamento".
Toque em "GERIR ARMAZENAMENTO", depois em "LIMPAR TODOS OS DADOS" e confirme a ação tocando em "OK". Note que repor o navegador irá eliminar todos os dados armazenados. Isto significa que todos os logins/palavras-passe guardados, histórico de navegação, definições não predefinidas e outros dados serão eliminados. Também terá de iniciar sessão novamente em todos os sites.
Eliminar o histórico de navegação do navegador Firefox:
Toque no botão "Menu" (três pontos no canto superior direito do ecrã) e selecione "Histórico" no menu suspenso aberto.
Desloque-se para baixo até ver "Limpar dados privados" e toque. Selecione os tipos de dados que pretende remover e toque em "LIMPAR DADOS".
Desativar as notificações do navegador Firefox:
Visite o site que está a enviar notificações do navegador, toque no ícone exibido à esquerda da barra de URL (o ícone não será necessariamente um "Cadeado") e selecione "Editar definições do site".
Na janela pop-up aberta, ative a opção "Notificações" e toque em "LIMPAR".
Repor o navegador Firefox:
Vá a "Definições", desloque-se para baixo até ver "Aplicações" e toque.
Desloque-se para baixo até encontrar a aplicação "Firefox", selecione-a e toque na opção "Armazenamento".
Toque em "LIMPAR DADOS" e confirme a ação tocando em "ELIMINAR". Note que repor o navegador irá eliminar todos os dados armazenados. Isto significa que todos os logins/palavras-passe guardados, histórico de navegação, definições não predefinidas e outros dados serão eliminados. Também terá de iniciar sessão novamente em todos os sites.
Desinstalar aplicações potencialmente indesejadas e/ou maliciosas:
Vá a "Definições", desloque-se para baixo até ver "Aplicações" e toque.
Desloque-se para baixo até ver uma aplicação potencialmente indesejada e/ou maliciosa, selecione-a e toque em "Desinstalar". Se, por algum motivo, não conseguir remover a aplicação selecionada (por exemplo, é-lhe apresentada uma mensagem de erro), deve tentar usar o "Modo de Segurança".
Iniciar o dispositivo Android no "Modo de Segurança":
O "Modo de Segurança" no sistema operativo Android desativa temporariamente a execução de todas as aplicações de terceiros. Utilizar este modo é uma boa forma de diagnosticar e resolver vários problemas (por exemplo, remover aplicações maliciosas que impedem os utilizadores de o fazer quando o dispositivo está a funcionar "normalmente").
Prima o botão "Ligar/Desligar" e mantenha-o premido até ver o ecrã "Desligar". Toque no ícone "Desligar" e mantenha premido. Após alguns segundos, a opção "Modo de Segurança" irá aparecer e poderá executá-lo reiniciando o dispositivo.
Verificar o uso de bateria de várias aplicações:
Vá a "Definições", desloque-se para baixo até ver "Manutenção do dispositivo" e toque.
Toque em "Bateria" e verifique o uso de cada aplicação. As aplicações legítimas/genuínas são concebidas para usar o mínimo de energia possível, de forma a proporcionar a melhor experiência ao utilizador e poupar energia. Portanto, um uso elevado de bateria pode indicar que a aplicação é maliciosa.
Verificar o uso de dados de várias aplicações:
Vá a "Definições", desloque-se para baixo até ver "Ligações" e toque.
Desloque-se para baixo até ver "Utilização de dados" e selecione esta opção. Tal como com a bateria, as aplicações legítimas/genuínas são concebidas para minimizar o uso de dados tanto quanto possível. Isto significa que um uso elevado de dados pode indicar a presença de uma aplicação maliciosa. Note que algumas aplicações maliciosas podem ser concebidas para operar apenas quando o dispositivo está ligado a uma rede sem fios. Por esta razão, deve verificar tanto o uso de dados Móveis como de Wi-Fi.
Se encontrar uma aplicação que usa muitos dados mesmo que nunca a utilize, aconselhamos vivamente que a desinstale o mais rapidamente possível.
Instalar as atualizações de software mais recentes:
Manter o software atualizado é uma boa prática no que diz respeito à segurança do dispositivo. Os fabricantes de dispositivos lançam continuamente vários patches de segurança e atualizações do Android para corrigir erros e bugs que podem ser explorados por criminosos cibernéticos. Um sistema desatualizado é muito mais vulnerável, razão pela qual deve sempre certificar-se de que o software do seu dispositivo está atualizado.
Vá a "Definições", desloque-se para baixo até ver "Atualização de software" e toque.
Toque em "Transferir atualizações manualmente" e verifique se existem atualizações disponíveis. Se sim, instale-as imediatamente. Também recomendamos ativar a opção "Transferir atualizações automaticamente" - isto permitirá que o sistema o notifique quando uma atualização for lançada e/ou a instale automaticamente.
Repor o sistema para o estado predefinido:
Realizar uma "Reposição de fábrica" é uma boa forma de remover todas as aplicações indesejadas, restaurar as definições do sistema para as predefinições e limpar o dispositivo em geral. No entanto, deve ter em mente que todos os dados dentro do dispositivo serão eliminados, incluindo fotos, ficheiros de vídeo/áudio, números de telefone (armazenados no dispositivo, não no cartão SIM), mensagens SMS, e assim por diante. Por outras palavras, o dispositivo será restaurado ao seu estado original.
Também pode restaurar as definições básicas do sistema e/ou simplesmente as definições de rede.
Vá a "Definições", desloque-se para baixo até ver "Acerca do telefone" e toque.
Desloque-se para baixo até ver "Repor" e toque. Agora escolha a ação que pretende realizar:
"Repor definições" - restaurar todas as definições do sistema para as predefinições;
"Repor definições de rede" - restaurar todas as definições relacionadas com a rede para as predefinições;
"Reposição de dados de fábrica" - repor todo o sistema e eliminar completamente todos os dados armazenados;
Desativar aplicações com privilégios de administrador:
Se uma aplicação maliciosa obtiver privilégios de nível de administrador, pode danificar gravemente o sistema. Para manter o dispositivo o mais seguro possível, deve sempre verificar quais as aplicações que têm esses privilégios e desativar as que não deveriam ter.
Vá a "Definições", desloque-se para baixo até ver "Ecrã de bloqueio e segurança" e toque.
Desloque-se para baixo até ver "Outras definições de segurança", toque e depois toque em "Aplicações de admin. do dispositivo".
Identifique as aplicações que não devem ter privilégios de administrador, toque nelas e depois toque em "DESATIVAR".
Perguntas Frequentes (FAQ)
O meu dispositivo Android está infetado com PhantomCard/NFCShare, devo formatar o meu dispositivo de armazenamento para me livrar dele?
Formatar o seu dispositivo de armazenamento normalmente não é necessário para remover o PhantomCard/NFCShare. Executar uma aplicação antivírus móvel de confiança como o Combo Cleaner deve ser suficiente para detetar e eliminar o malware sem apagar o seu dispositivo.
Quais são os maiores problemas que o PhantomCard/NFCShare pode causar?
O risco mais direto é o roubo financeiro. O malware captura dados de cartões de pagamento contactless e PINs em tempo real, permitindo que os atacantes façam compras ou levantamentos em ATMs usando uma cópia emulada do cartão da vítima. As vítimas frequentemente não percebem que algo está errado até que cobranças não autorizadas apareçam no seu extrato bancário.
O PhantomCard/NFCShare pode roubar dinheiro do meu cartão de pagamento contactless sem eu perceber?
Sim. O malware engana as vítimas para encostarem o seu cartão de pagamento ao telemóvel e introduzirem um PIN através de um ecrã de verificação falso. Os dados capturados são retransmitidos instantaneamente para os atacantes, que emulam o cartão no seu próprio dispositivo e utilizam-no para pagamentos contactless ou levantamentos em ATMs - tudo sem nunca possuir fisicamente o cartão.
Como é que o PhantomCard/NFCShare se infiltrou no meu dispositivo Android?
O PhantomCard/NFCShare é distribuído através de campanhas adaptadas a regiões específicas: páginas falsas da Google Play Store no Brasil e sites de phishing que se fazem passar pelo Deutsche Bank em Itália. Ambas as versões dependem de engenharia social para convencer os utilizadores a instalar um ficheiro APK não oficial fora da loja de aplicações oficial.
O Combo Cleaner irá proteger-me contra malware?
O Combo Cleaner é capaz de detetar e eliminar quase todas as infeções de malware conhecidas. Lembre-se de que é essencial realizar uma verificação completa do sistema, uma vez que programas maliciosos sofisticados normalmente escondem-se profundamente no sistema.
Partilhar:
Facebook
X.com
LinkedIn
Copiar link
Tomas Meskauskas
Pesquisador especialista em segurança, analista profissional de malware
Sou um apaixonado por segurança e tecnologia de computadores. Tenho experiência de mais de 10 anos a trabalhar em diversas empresas relacionadas à resolução de problemas técnicas e segurança na Internet. Tenho trabalhado como autor e editor para PCrisk desde 2010. Siga-me no Twitter e no LinkedIn para manter-se informado sobre as mais recentes ameaças à segurança on-line.
O portal de segurança PCrisk é fornecido pela empresa RCS LT.
Pesquisadores de segurança uniram forças para ajudar a educar os utilizadores de computadores sobre as mais recentes ameaças à segurança online. Mais informações sobre a empresa RCS LT.
Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.
DoarO portal de segurança PCrisk é fornecido pela empresa RCS LT.
Pesquisadores de segurança uniram forças para ajudar a educar os utilizadores de computadores sobre as mais recentes ameaças à segurança online. Mais informações sobre a empresa RCS LT.
Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.
Doar
▼ Mostrar comentários