Malware NGate Baru Curi Data NFC dan PIN via HandyPay

Ancaman kejahatan siber di perangkat Android kembali meningkat. Peneliti keamanan siber menemukan versi terbaru dari malware Android bernama NGate yang kini memanfaatkan aplikasi legal bernama HandyPay untuk mencuri data kartu pembayaran nirsentuh (contactless payment) beserta PIN korban.

Sebelumnya, malware ini diketahui menggunakan aplikasi NFCGate sebagai alat utama untuk menjalankan aksinya. Namun, dalam temuan terbaru, pelaku serangan beralih menggunakan HandyPay karena dinilai lebih murah, lebih mudah dimodifikasi, dan tidak memerlukan banyak izin akses yang dapat menimbulkan kecurigaan pengguna.

Peneliti keamanan dari ESET, Lukáš Štefanko, mengungkap bahwa pelaku ancaman mengambil aplikasi HandyPay yang sebenarnya digunakan untuk meneruskan data NFC, lalu menyisipkan kode berbahaya yang diduga dibuat dengan bantuan artificial intelligence (AI).

Menurutnya, seperti pada versi sebelumnya, malware NGate memungkinkan penyerang memindahkan data NFC dari kartu pembayaran korban ke perangkat mereka sendiri. Data tersebut kemudian digunakan untuk melakukan transaksi ilegal, termasuk penarikan uang tunai tanpa kartu di ATM dan pembayaran tanpa izin.

Tidak hanya itu, malware ini juga mampu menangkap PIN kartu pembayaran korban dan mengirimkannya ke server command-and-control (C2) milik pelaku. Dengan kombinasi data kartu dan PIN tersebut, penjahat siber dapat melakukan pembobolan rekening dengan lebih mudah.

NGate, yang juga dikenal dengan nama NFSkate, pertama kali didokumentasikan secara publik oleh ESET pada Agustus 2024. Malware ini dikenal memiliki kemampuan menjalankan serangan relay attack, yaitu teknik untuk mencuri data pembayaran nirsentuh korban dan meneruskannya ke perangkat lain agar bisa digunakan dalam transaksi palsu.

Setahun kemudian, perusahaan keamanan mobile asal Belanda, ThreatFabric, juga menemukan ancaman serupa dengan nama kode RatOn. Dalam kasus tersebut, pelaku menggunakan aplikasi dropper yang menyamar sebagai versi dewasa dari TikTok untuk menyebarkan malware NGate ke perangkat korban.

Pada versi terbaru ini, target utama serangan adalah pengguna Android di Brazil. Ini menjadi kampanye pertama NGate yang secara khusus menyasar negara di kawasan Amerika Selatan tersebut.

ESET menjelaskan bahwa aplikasi HandyPay yang telah dimodifikasi dengan trojan disebarkan melalui beberapa metode penipuan digital. Salah satunya melalui situs palsu yang menyamar sebagai Rio de Prêmios, sebuah layanan lotere yang terhubung dengan organisasi lotere negara bagian Rio de Janeiro.

Selain itu, pelaku juga membuat halaman palsu yang menyerupai listing aplikasi di Google Play Store untuk sebuah aplikasi perlindungan kartu pembayaran.

Modus yang digunakan cukup meyakinkan. Pada situs lotere palsu tersebut, pengguna diminta menekan tombol untuk mengirim pesan WhatsApp guna mengklaim hadiah uang. Setelah itu, korban diarahkan untuk mengunduh aplikasi HandyPay versi berbahaya.

Begitu aplikasi terpasang, korban akan diminta menjadikannya sebagai aplikasi pembayaran default di perangkat Android mereka. Langkah ini terlihat biasa saja bagi sebagian pengguna, sehingga tidak menimbulkan kecurigaan.

Selanjutnya, korban diminta memasukkan PIN kartu pembayaran mereka ke dalam aplikasi, lalu menempelkan kartu ke bagian belakang smartphone yang memiliki fitur NFC.

Pada tahap inilah malware mulai bekerja. HandyPay yang telah disusupi trojan akan menangkap data NFC dari kartu pembayaran korban dan meneruskannya secara real-time ke perangkat yang dikendalikan pelaku.

Dengan data tersebut, penyerang dapat melakukan penarikan uang tunai di ATM yang mendukung transaksi contactless, bahkan tanpa harus memiliki kartu fisik korban.

ESET memperkirakan kampanye aktif ini sudah berjalan sejak November 2025. Menariknya, versi berbahaya dari HandyPay tidak pernah tersedia secara resmi di Google Play Store. Artinya, para pelaku sengaja menggunakan situs palsu dan rekayasa sosial untuk menipu pengguna agar mengunduh aplikasi dari luar toko resmi.

Pihak HandyPay sendiri dilaporkan telah memulai investigasi internal terkait penyalahgunaan aplikasi mereka dalam kampanye kejahatan siber ini.

Menurut ESET, salah satu alasan pelaku beralih dari solusi lain seperti NFCGate adalah faktor biaya. HandyPay memiliki harga langganan yang lebih murah dibandingkan solusi siap pakai lain yang biayanya bisa mencapai lebih dari 400 dollar AS per bulan.

Selain itu, HandyPay secara bawaan tidak membutuhkan izin akses khusus selain dijadikan aplikasi pembayaran default. Hal ini membuat aktivitas berbahaya menjadi lebih sulit terdeteksi oleh korban.

Temuan menarik lainnya adalah adanya emoji dalam pesan debug dan notifikasi toast pada kode malware tersebut. Hal ini memunculkan dugaan bahwa pelaku menggunakan large language model (LLM) atau model AI generatif untuk membuat maupun memodifikasi kode sumber malware.

Meski belum ada bukti yang benar-benar pasti, tren ini menunjukkan bahwa pelaku kejahatan siber semakin aktif memanfaatkan AI generatif untuk mempercepat pembuatan malware, bahkan tanpa keahlian teknis yang tinggi.

Fenomena ini menjadi perhatian serius karena teknologi AI yang seharusnya membantu produktivitas kini juga dimanfaatkan untuk aktivitas kriminal digital.

ESET menegaskan bahwa meningkatnya kampanye NGate menunjukkan penipuan berbasis NFC sedang mengalami kenaikan signifikan. Jika sebelumnya pelaku mengandalkan solusi populer seperti NFCGate atau layanan Malware-as-a-Service (MaaS), kini mereka mulai memanfaatkan aplikasi legal yang sudah memiliki fungsi relay NFC untuk dijadikan senjata serangan.

Kasus ini menjadi pengingat penting bagi pengguna Android agar lebih berhati-hati saat mengunduh aplikasi, terutama dari sumber tidak resmi. Menghindari instalasi APK dari luar toko aplikasi resmi, tidak mudah tergiur hadiah palsu, serta tidak sembarangan memberikan akses aplikasi pembayaran menjadi langkah penting untuk mencegah pencurian data finansial.

Di tengah meningkatnya ancaman siber berbasis AI, kewaspadaan pengguna menjadi benteng pertahanan pertama yang tidak bisa diabaikan.