Penipuan Canggih! Malware Android Manfaatkan NFC untuk Mencuri

Kampanye malware yang memanfaatkan teknologi Near Field Communication (NFC) di ponsel Android berkembang pesat sejak pertama kali terdeteksi pada April 2024. Dari insiden yang semula terpisah-pisah, kini lebih dari 760 aplikasi berbahaya telah beredar dan menargetkan pengguna di berbagai negara termasuk Rusia, Polandia, Republik Ceko, Slowakia, dan Brasil. Serangan ini berfokus pada pencurian data pembayaran dan kredensial perbankan melalui penyalahgunaan fitur NFC dan Host Card Emulation (HCE).

Apa yang Terjadi?

Pelaku menyebarkan aplikasi yang menyamar sebagai aplikasi resmi bank atau layanan pemerintahan. Aplikasi palsu ini tampak meyakinkan sehingga banyak pengguna terkelabui untuk mengunduh dan memasangnya. Setelah terpasang, aplikasi akan meminta agar pengguna menjadikannya metode pembayaran NFC default di ponsel. Begitu diberi akses, aplikasi itu bisa menyadap data kartu saat korban melakukan transaksi “tap-to-pay” dan mengirimkan data tersebut ke penyerang lewat kanal privat, misalnya grup atau bot Telegram.

Teknologi yang disalahgunakan: NFC, HCE, dan EMV — penjelasan sederhana
NFC (Near Field Communication) adalah teknologi nirkabel jarak dekat yang memungkinkan ponsel berkomunikasi dengan terminal pembayaran hanya dengan mendekatkan perangkat. HCE (Host Card Emulation) adalah fitur di Android yang memungkinkan ponsel meniru kartu pembayaran secara perangkat lunak, sehingga aplikasi bisa memproses transaksi tanpa perlu hardware kartu fisik. EMV adalah standar data pada kartu chip (chip-and-PIN) yang berisi informasi teknis transaksi. Penyerang memanfaatkan kombinasi HCE dan akses NFC untuk menangkap informasi sensitif seperti nomor kartu, tanggal kadaluarsa, dan data EMV.

Bagaimana Cara Kerjanya?

1. Penyamaran sebagai aplikasi resmi: Aplikasi jahat dibuat menyerupai aplikasi bank atau portal pemerintah.
2. Permintaan menjadi metode pembayaran default: Setelah terpasang, aplikasi meminta hak sebagai metode NFC default. Pengguna yang kurang waspada cenderung menyetujuinya.
3. Pencurian data saat transaksi: Ketika korban melakukan tap-to-pay, aplikasi jahat membaca dan merekam data kartu yang lewat.
4. Pengiriman data ke penyerang: Informasi sensitif tersebut dikirim secara otomatis ke infrastruktur penyerang misalnya server command-and-control (C2) dan grup Telegram privat untuk dipakai atau dijual.

Analis keamanan dari Zimperium menemukan infrastruktur besar yang mendukung kampanye ini: lebih dari 70 server C2, puluhan bot Telegram untuk koordinasi, dan sekitar 20 lembaga yang dipalsukan dalam kampanye tersebut. Target pemalsuan meliputi nama-nama bank besar dan juga portal pemerintah, membuat tampilan aplikasi palsu semakin meyakinkan.

Varian dan Fungsionalitas Malware

Tidak semua varian bekerja dengan cara yang sama. Ada dua pola utama:

• Scanner/collector: Varian ini mengambil data kartu yang kemudian dimanfaatkan oleh penyerang untuk melakukan pembelian fisik di kasir atau mesin POS.
• Exfiltrator langsung: Varian lain langsung mengirimkan data yang dicuri ke kanal milik penyerang (mis. Telegram), lengkap dengan notifikasi otomatis berisi detail kartu.

Di sisi teknis, aplikasi jahat mempertahankan koneksi WebSocket ke server C2 sehingga dapat menerima perintah dan mengirim respon secara real-time. Perintah-perintah seperti register_devicemengirimkan informasi perangkat ke server, apdu_command dan apdu_response meneruskan serta memanipulasi komunikasi antara terminal pembayaran dan perangkat, sedangkan card_info dan get_pin digunakan untuk mengumpulkan rincian kartu dan PIN bila tersedia.

Mengapa ini Berbahaya

Karena targetnya adalah data pembayaran yang lengkap, dampaknya bisa sangat merugikan: transaksi penipuan langsung, peretasan akun perbankan, atau penjualan data ke pihak ketiga. Selain itu, karena aplikasi menyamar sebagai layanan tepercaya, korban seringkali tidak menyadari bahwa mereka telah dikompromikan hingga terjadi transaksi mencurigakan.

Cara Melindungi Diri

• Unduh aplikasi hanya dari sumber resmi (Google Play) dan periksa penerbit aplikasi. Namun ingat, aplikasi jahat terkadang juga bisa lolos ke toko resmi, jadi tetap waspada.
• Periksa izin aplikasi, jika aplikasi meminta jadi metode pembayaran default tanpa alasan jelas, jangan setujui.
• Baca ulasan dan cek reputasi sebelum menginstal aplikasi yang mengaku mewakili bank.
• Aktifkan otentikasi dua faktor (2FA) di layanan perbankan ketika tersedia.
  Pantau aktivitas rekening secara rutin untuk mendeteksi transaksi mencurigakan sejak dini.
• Update sistem dan aplikasi secara berkala agar mendapat patch keamanan terbaru.
• Gunakan aplikasi keamanan atau hubungi bank jika ada permintaan pengaturan yang tidak biasa.

Kampanye ini menegaskan satu hal penting: kemudahan teknologi nirkabel seperti NFC juga membuka celah bagi penjahat siber ketika fitur tersebut disalahgunakan.

Waspada, kebiasaan berhati-hati saat mengunduh aplikasi, dan pemeriksaan rutin terhadap izin aplikasi serta aktivitas rekening adalah langkah paling efektif untuk mengurangi risiko. Jika menemukan aplikasi yang mencurigakan, laporkan ke pihak berwenang atau bank terkait agar lebih cepat ditindaklanjuti.