Image credit: Freepix
Cara Peretas Menguras ATM Menggunakan Ponsel Anda – Selama bertahun-tahun, keamanan kartu pembayaran berbasis chip dan contactless (NFC) dianggap sangat tangguh.
Namun, laporan terbaru dari peneliti ESET mengungkap sebuah lompatan berbahaya dalam dunia kejahatan siber.
Sebuah varian baru dari keluarga malware NGate telah ditemukan. Kali ini, ia tidak lagi menggunakan alat peretasan standar, melainkan membajak aplikasi Android sah bernama HandyPay untuk mencuri data kartu dan uang tunai dari para korbannya.
Hal yang lebih mengkhawatirkan adalah indikasi kuat bahwa kode jahat yang disuntikkan ke dalam aplikasi tersebut dibuat dengan bantuan Generative AI (GenAI).
Penemuan ini menandai babak baru di mana ambang batas kemampuan teknis untuk menjadi penjahat siber semakin rendah berkat bantuan kecerdasan buatan.
Mengenal NGate dan Relay NFC
Untuk memahami betapa berbahayanya NGate, kita harus memahami cara kerja NFC pada ponsel kita. Biasanya, kita menggunakan NFC untuk membayar secara praktis di kasir hanya dengan menempelkan ponsel. Malware NGate bekerja dengan prinsip NFC Relay (penerusan data).
Secara sederhana, prosesnya seperti ini:
- Korban secara tidak sengaja memasang aplikasi yang telah dimodifikasi (dalam kasus ini, aplikasi HandyPay palsu).
- Saat korban menempelkan kartu fisik mereka ke ponsel yang terinfeksi, malware akan membaca data sensitif dari chip kartu tersebut.
- Data kartu tersebut kemudian dikirimkan secara instan melalui internet ke ponsel milik peretas yang berada di lokasi lain (misalnya di depan mesin ATM atau mesin gesek toko).
- Ponsel peretas akan bertindak seolah-olah sebagai kartu asli milik korban. Peretas bisa menarik uang tunai di ATM atau berbelanja menggunakan dana korban secara real-time.
|
Baca juga: Phising iPhone Lewat Notifikasi Resmi Apple |
Kode Jahat dengan Sentuhan Emoji
Peneliti menemukan bahwa peretas tidak membangun aplikasi ini dari nol. Mereka mengambil aplikasi HandyPay yang asli.
Sebuah aplikasi sah yang memang dirancang untuk berbagi data kartu antar anggota keluarga lalu membedah dan menyuntikkan kode berbahaya ke dalamnya.
Peneliti mengidentifikasi jejak yang sangat tidak biasa dalam kode tersebut: adanya emoji di dalam catatan (logs) teknisnya.
Penggunaan emoji pada pesan kesalahan atau catatan sistem merupakan ciri khas dari teks yang dihasilkan oleh alat kecerdasan buatan seperti ChatGPT atau Large Language Models (LLM) lainnya.
Meskipun bukti absolut masih sulit didapat, pola ini menunjukkan bahwa peretas kemungkinan besar menggunakan AI untuk menulis atau memodifikasi kode pencurian PIN kartu, yang secara signifikan mempercepat proses pembuatan malware tersebut.
Lotre Palsu dan Perlindungan Kartu Fiktif
Kampanye serangan ini terdeteksi aktif sejak November 2025 dengan fokus utama pada pengguna Android di Brasil. Peretas menggunakan teknik rekayasa sosial yang sangat rapi melalui dua jalur distribusi utama:
1. Situs Lotre Palsu “Rio de Prêmios”
Korban diarahkan ke sebuah situs web yang meniru penyelenggara lotre resmi di Rio de Janeiro. Di sana, korban diajak bermain kartu gosok digital yang telah diatur sedemikian rupa sehingga korban pasti menang hadiah sebesar R$20.000 (sekitar 60 juta Rupiah).
Untuk mengklaim hadiah, korban diminta mengklik tombol yang terhubung ke WhatsApp. Melalui percakapan itulah, korban dipandu untuk mengunduh aplikasi “resmi” pemenang yang sebenarnya adalah malware NGate.
2. Situs Google Play Palsu “Proteção Cartão”
Jalur kedua adalah melalui situs web yang dirancang identik dengan Google Play Store. Di sana, ditawarkan aplikasi bernama “Proteção Cartão” (Perlindungan Kartu).
Pengguna yang khawatir akan keamanan kartu mereka justru akan mengunduh aplikasi yang akan menguras isi rekening mereka.
Kedua metode ini bertujuan untuk meyakinkan pengguna agar memberikan izin “Allow from this source” (Izinkan dari sumber ini) saat menginstal aplikasi di luar toko resmi Google Play.
Alasan Ekonomi di Balik Kejahatan
Mungkin Anda bertanya-tanya, mengapa peretas tidak menggunakan alat peretas khusus yang sudah ada di pasar gelap? Peneliti menemukan jawaban yang sangat logis: Uang.
Di dunia bawah tanah, ada layanan bernama Malware-as-a-Service (MaaS) seperti “NFU Pay” atau “TX-NFC” yang disewakan kepada sesama kriminal. Harga sewanya sangat mahal, mencapai US400hinggaUS500 per bulan (sekitar 6-8 juta Rupiah).
Sebaliknya, aplikasi HandyPay yang sah hanya meminta donasi sekitar €9,99 (sekitar 170 ribu Rupiah) untuk fitur lengkapnya.
Dengan membajak aplikasi yang murah dan memiliki fungsionalitas NFC yang sudah matang, peretas dapat menjalankan operasi besar dengan biaya yang sangat minim.
Selain itu, HandyPay tidak memerlukan izin (permissions) yang mencurigakan saat diinstal, sehingga tidak memicu alarm pada sistem keamanan ponsel korban.
|
Baca juga: Evolusi Pencurian Identitas di Era Mobile |
Tidak Hanya Data Kartu Tapi Juga PIN
Varian NGate yang membajak HandyPay ini jauh lebih berbahaya dari versi sebelumnya. Selain mampu meneruskan data NFC, aplikasi palsu ini akan menampilkan formulir yang meminta korban memasukkan nomor PIN kartu mereka.
Begitu PIN dimasukkan dan kartu ditempelkan ke ponsel, dua hal terjadi secara bersamaan:
- Data NFC kartu dikirim ke ponsel peretas untuk penarikan tunai.
- Nomor PIN dikirim ke server pusat milik peretas (C&C Server) melalui jalur internet terpisah.
Dengan data kartu dan nomor PIN di tangan, peretas memiliki kendali penuh atas rekening korban, bahkan untuk transaksi yang memerlukan validasi keamanan tingkat tinggi.
Cara Melindungi Diri dari Ancaman NFC
Peneliti dari ESET telah melaporkan temuan ini kepada Google dan pengembang asli HandyPay. Berita baiknya, fitur Google Play Protect yang ada di setiap ponsel Android kini telah diperbarui untuk mengenali dan memblokir varian malware ini secara otomatis.
Namun, kewaspadaan mandiri tetap menjadi garis pertahanan pertama:
- Jika sebuah situs web atau orang di WhatsApp meminta Anda mengunduh file .APK secara manual, hampir bisa dipastikan itu adalah penipuan.
- Hadiah lotre puluhan juta rupiah dari situs yang tidak dikenal adalah umpan klasik peretas.
- Aplikasi perbankan atau pembayaran yang sah jarang sekali meminta Anda memasukkan PIN kartu fisik langsung ke dalam aplikasi ponsel saat memindai NFC.
- Sebagai langkah ekstra, Anda bisa mematikan fitur NFC di pengaturan ponsel dan hanya menyalakannya saat Anda benar-benar akan melakukan pembayaran.
- Pasang solusi keamanan tepercaya yang mampu mendeteksi aplikasi yang telah dimodifikasi atau mengandung kode berbahaya sebelum mereka sempat beraksi.
Tantangan Keamanan di Era AI
Munculnya varian NGate yang dipersenjatai dengan kode buatan AI ini adalah pengingat bahwa teknologi selalu memiliki dua sisi mata uang.
Di satu sisi, AI membantu pengembang menciptakan aplikasi bermanfaat; di sisi lain, ia menjadi asisten efisien bagi para kriminal siber untuk memperluas jangkauan serangannya.
Resiliensi siber di tahun 2026 bukan lagi soal menghindari teknologi, melainkan tentang membangun kesadaran kritis dalam setiap ketukan jari kita di atas layar ponsel.
Sumber berita:
