Uma nova forma de fraude cibernética com uso de tecnologia NFC foi identificada por especialistas da empresa de cibersegurança Cleafy. O ataque é baseado no malware SuperCard X, que opera por meio de um modelo MaaS (Malware como Serviço) e já está sendo utilizado para golpes em diversos países. O foco principal são usuários de cartões de crédito e débito com função de pagamento por aproximação (contactless).
O SuperCard X é distribuído por engenharia social, geralmente iniciada por mensagens falsas via SMS ou WhatsApp, que simulam alertas de segurança bancária. As vítimas são induzidas a realizar uma chamada telefônica, durante a qual os criminosos orientam a instalação de um aplicativo supostamente legítimo. Esse app, no entanto, contém o malware responsável por interceptar dados NFC de cartões físicos.
Ao aproximar o cartão do celular infectado, a vítima aciona, sem saber, o recurso de leitura e retransmissão de dados NFC. Essas informações são enviadas em tempo real a um segundo dispositivo controlado pelo criminoso, que pode realizar saques ou pagamentos fraudulentos em terminais de autoatendimento ou pontos de venda com suporte a pagamentos por aproximação.
O malware utiliza arquitetura modular, com dois aplicativos distintos: um “Reader”, instalado no celular da vítima, e um “Tapper”, usado pelo fraudador. A comunicação entre eles é mediada por uma infraestrutura C2 (comando e controle) protegida por autenticação mútua via mTLS, o que dificulta a interceptação dos dados por terceiros ou softwares de análise.

Um dos fatores que tornam o SuperCard X particularmente perigoso é sua baixa taxa de detecção por antivírus. O malware solicita poucas permissões ao sistema Android, limitando-se àquelas essenciais para acesso ao NFC, o que ajuda a manter um perfil discreto.
A Cleafy alerta que o ataque pode afetar qualquer instituição financeira ou emissora de cartão, independentemente da bandeira ou do banco. A operação é ágil, com uso instantâneo dos dados coletados, dificultando a resposta em tempo real por parte das instituições.
O avanço desse tipo de ameaça mostra a necessidade de reforço nas medidas de detecção e prevenção em tempo real, especialmente diante da crescente adoção de tecnologias contactless no setor financeiro. Não instale aplicativos e não acesse links desconhecidos ou suspeitos.