A ESET identificou uma nova variante do malware NGate que está sendo utilizada em ataques direcionados a usuários Android no Brasil. A ameaça se esconde em uma versão adulterada do aplicativo legítimo HandyPay, um app Android voltado ao compartilhamento de dados via NFC, e permite que criminosos capturem dados de cartões de pagamento para realizar saques e transações não autorizadas.
O código malicioso injetado no HandyPay apresenta indícios de ter sido desenvolvido com auxílio de ferramentas de IA generativa. Especificamente, os logs do malware contêm emojis típicos de texto gerado por modelos de linguagem (LLMs), sugerindo o envolvimento da IA na criação ou modificação do código. Esse cenário reflete uma tendência crescente no cibercrime: a IA generativa reduz a barreira técnica, permitindo que agentes com conhecimento limitado produzam malwares funcionais.
"Observamos sinais de que ferramentas de inteligência artificial podem ter sido utilizadas no desenvolvimento desse malware, o que reforça um movimento importante: a redução da barreira técnica para a criação de ameaças mais sofisticadas", afirma Lukáš Štefanko, pesquisador da ESET responsável pela descoberta.
De acordo com a investigação da empresa, a campanha está ativa desde novembro de 2025 e utiliza diferentes estratégias de engenharia social, incluindo sites falsos e páginas que imitam a loja oficial de aplicativos, para distribuir o malware.
Como a ameaça chega ao Brasil
A distribuição do malware no Brasil ocorre por meio de dois vetores identificados por especialistas da ESET, ambos hospedados no mesmo domínio — o que indica uma operação coordenada por um único grupo de atacantes.
O primeiro é uma página fraudulenta que imita a loteria oficial gerida pela Loterj (organização de loteria do estado do Rio de Janeiro). O site exibe um jogo de raspadinha em que a vítima sempre "ganha" R$ 20.000. Para resgatar o prêmio, o usuário é direcionado ao WhatsApp com uma mensagem pré-preenchida para um número controlado pelos cibercriminosos. O perfil do WhatsApp usa a imagem da Caixa Econômica Federal para aumentar a credibilidade. Nessa interação, a vítima é induzida a baixar o app malicioso.
O outro vetor é uma página falsa da Google Play chamada "Proteção Cartão", que apresenta o aplicativo malicioso como um app de proteção de cartão. A vítima é instruída a baixar e instalar manualmente o arquivo APK fora da loja oficial, infectando o dispositivo com o HandyPay adulterado.
Como o malware opera
Após a instalação, o aplicativo solicita ser definido como o meio de pagamento padrão do celular — uma funcionalidade legítima do HandyPay, que não é maliciosa por si só. Como não exige permissões adicionais, o app acaba não levantando suspeitas.
A partir dessa etapa, o golpe se desenrola quando a vítima é induzida a digitar o PIN do cartão e aproximá-lo do celular com o NFC ativado. Nesse processo, o PIN é capturado por um campo de texto malicioso e enviado via HTTP para o servidor de comando e controle (C&C) dos atacantes.
Ao mesmo tempo, os dados do cartão obtidos via NFC são transmitidos para o dispositivo do criminoso por meio da própria infraestrutura do HandyPay, que é indevidamente utilizada para retransmitir essas informações. O e-mail do cibercriminoso, inclusive, fica embutido diretamente no código do aplicativo, garantindo que todo o tráfego seja direcionado exclusivamente a ele.
"Com esses dados em mãos, os criminosos conseguem realizar saques em caixas eletrônicos com tecnologia por aproximação ou efetuar pagamentos não autorizados", explica Štefanko.
IA generativa como ferramenta do cibercrime
Um aspecto que chama atenção nesta campanha é o possível uso de IA generativa para criar o código malicioso. Os criminosos optaram por modificar um aplicativo legítimo em vez de utilizar ferramentas já disponíveis no mercado ilegal, como, por exemplo, o "malware como serviço" (MaaS).
Segundo a ESET, essa escolha pode estar relacionada ao custo, já que soluções prontas de malware como serviço podem chegar a centenas de dólares por mês, enquanto o aplicativo utilizado tem custo significativamente inferior.
"Esse tipo de estratégia mostra que os atacantes estão buscando alternativas mais acessíveis e discretas para conduzir suas operações, reduzindo custos e evitando levantar suspeitas durante o ataque", acrescenta Štefanko.
A ESET também destacou que a versão maliciosa do aplicativo nunca esteve disponível na loja oficial Google Play e que as descobertas foram compartilhadas com o Google e com os desenvolvedores do app legítimo.
O avanço desse tipo de ameaça acompanha o crescimento do ecossistema de ataques baseados em NFC, que têm se tornado mais sofisticados e acessíveis. Com isso, o especialista alerta para a importância de baixar aplicativos apenas de fontes oficiais, evitar clicar em links desconhecidos e manter soluções de segurança atualizadas nos dispositivos móveis.
