Kartu ATM Dikuras via Sensor NFC HP

Kartu ATM Dikuras via Sensor NFC HP – Para pelaku kejahatan siber global terus memutakhirkan senjata digital mereka untuk mengincar sektor keuangan.

Varian terbaru dari malware Android berbahaya bernama NFCShare dilaporkan tengah menyebar luas dengan menyamar sebagai pembaruan (update) palsu dari aplikasi perbankan resmi.

Guna meyakinkan korbannya, peretas memanfaatkan reputasi platform repositori kode terkemuka, GitHub, sebagai sarana untuk mendistribusikan program jahat tersebut.

Berdasarkan laporan investigasi terbaru, malware ini telah berevolusi secara signifikan dan kini membidik para nasabah dari berbagai bank serta lembaga keuangan besar.

Kampanye pemerasan digital ini dilancarkan melalui metode pancingan (phising) yang dirancang khusus untuk mencuri data kartu pembayaran, baik kartu debit maupun kartu kredit milik korban.

Modus Operasional

Alur serangan malware NFCShare mengandalkan kombinasi taktik manipulasi psikologis (social engineering) yang rapi serta pemanfaatan fitur perangkat keras ponsel modern.

1. Korban Mengunjungi Situs Phishing

• Korban dijebak masuk ke situs palsu yang meniru bank resmi.
• Situs meminta korban memasukkan kredensial log masuk (Username & PIN).

2. Redireksi Ke Github (Download Apk)

• Korban dipaksa melakukan pembaruan aplikasi perbankan.
• Korban diarahkan ke repositori GitHub untuk mengunduh file APK palsu.

3. Eksekusi Pemindaian Kartu (Nfc Scan)

• Aplikasi palsu memunculkan layar verifikasi keamanan tiruan.
• Korban diminta menempelkan kartu ATM fisik ke sensor NFC ponsel.

4. Eksfiltrasi Data Via Websocket

• Malware membaca data nomor kartu, tipe, masa berlaku, dan PIN 4-digit.
• Seluruh data rahasia dikirim ke server peretas lewat saluran WebSocket.

Setelah berhasil menjebak korban untuk menginstal aplikasi palsu dari GitHub, malware akan memunculkan sebuah layar verifikasi keamanan tiruan.

Layar tersebut meminta korban untuk menempelkan kartu ATM fisik mereka ke bagian belakang ponsel, tepat di dekat chip Near-Field Communication (NFC) perangkat.

Begitu kartu ditempelkan, NFCShare langsung membaca seluruh informasi sensitif di dalam chip kartu menggunakan antarmuka IsoDep bawaan Android serta perintah standar EMV (Europay, Mastercard, and Visa).

Melalui metode ini, peretas berhasil merampas data kritis berupa:

• Nomor kartu pembayaran secara lengkap.
• Tipe atau jenis kartu.
• Tanggal masa berlaku kartu (expiry date).
• Kode PIN 4-digit yang dimasukkan sendiri oleh korban karena mengira hal tersebut merupakan bagian dari prosedur keamanan resmi.

Seluruh data yang berhasil dipanen kemudian dikirimkan secara real-time ke server komando Command and Control milik peretas melalui saluran komunikasi WebSocket.

Informasi yang dikumpulkan dengan cara ini nantinya dapat digunakan oleh sindikat penjahat siber untuk melancarkan skema relai pembayaran NFC.

Sebuah modus kejahatan di mana peretas menduplikasi kartu korban untuk bertransaksi di mesin EDC lain, mirip dengan karakteristik serangan malware terdahulu seperti NGate, SuperCard X, dan RelayNFC.

Evolusi Kode dan Perluasan Target Jaringan

Ancaman NFCShare pertama kali didokumentasikan oleh para peneliti keamanan siber dari D3Lab pada Januari 2026. Sejak saat itu, tim pengawas siber terus melacak aktivitas dan arah evolusi dari program jahat tersebut.

Andrea Draghetti, selaku salah satu peneliti senior di D3Lab, mengungkapkan bahwa meskipun NFCShare memiliki kemiripan fungsional dengan malware Android lain yang mengeksploitasi chip NFC untuk pencurian data, arsitektur internalnya sangat berbeda.

NFCShare dibangun menggunakan struktur kode, pustaka (libraries), dan implementasi teknis yang unik. Kendati demikian, Draghetti tidak menampik kemungkinan bahwa malware ini merupakan bentuk evolusi dari ekosistem kejahatan yang sama, yang digerakkan oleh kelompok peretas yang sama.

Gelombang serangan terbaru yang terpantau sejak 14 Mei 2026 memperlihatkan pola pendekatan hulu yang agresif.

Selain memanfaatkan situs phising, para peneliti mengindikasikan bahwa peretas juga berpotensi mengombinasikan serangan ini dengan:

• Pengiriman pesan SMS penipuan (smishing)
• Panggilan telepon dari agen bank palsu untuk mendesak korban melakukan pembaruan aplikasi.

Sejak repositori GitHub palsu tersebut dibuat pada 10 April 2026, peretas tercatat telah mengunggah 56 varian file APK unik yang meniru aplikasi seluler resmi milik bank-bank besar.

Terutama yang berbasis di Italia dan Spanyol. Beberapa nama file APK berbahaya yang berhasil diidentifikasi meliputi:

• Intesa Carte.apk
• Sella Carte.apk/Banca Sella Carte.apk
• Nexi Carte.apk
• Fideuram Carte.apk
• Mooney Carte.apk
• CaixaBank.apk/CaixaBankNfc.apk/CaixaReactivaTarjeta.apk

Peta target ini menunjukkan perluasan skala serangan yang sangat masif. Sebab pada awal kemunculannya di bulan Januari, laporan peneliti D3Lab mencatat bahwa malware ini hanya fokus membidik nasabah Deutsche Bank di Jerman saja.

Strategi Licik Mengelabui Antivirus

Satu aspek teknis yang paling menarik sekaligus berbahaya dari versi terbaru NFCShare adalah penerapan metode pengemasan APK yang cacat sengaja (malformed APK packaging).

Strategi ini sengaja diimplementasikan oleh peretas dengan tujuan utama untuk mengacaukan proses analisis otomatis yang dilakukan oleh sistem robot pertahanan siber.

Secara struktur dasar, file APK pada sistem operasi Android merupakan sebuah arsip berkas kompresi berbentuk ZIP.

Namun, pada sampel NFCShare terbaru, peretas menyisipkan jalur file yang rusak atau beracun (poisoned/malformed file paths) di dalam arsip ZIP tersebut.

Trik ini menyebabkan beberapa perangkat lunak ekstraksi otomatis salah menginterpretasikan jalur relatif internal sebagai jalur sistem file (filesystem paths), sehingga memicu eror (crash) pada program pemindai.

Para peneliti dari D3Lab menegaskan bahwa trik manipulasi ini tidak akan mampu menghentikan proses analisis manual maupun pemulihan kode (code recovery) yang dilakukan oleh tenaga ahli manusia.

Fungsi utamanya murni hanya ditujukan untuk merusak jalannya pemindaian statis (static analysis) pada alat ukur keamanan siber standar.

Mitigasi dan Panduan Perlindungan Perangkat

Mengingat malware ini mampu bergerak senyap melalui platform tepercaya seperti GitHub dan memanipulasi fitur perangkat keras ponsel, pengguna Android diimbau untuk segera menerapkan langkah-langkah pencegahan mandiri sebagai berikut:

1. Unduh Aplikasi Hanya dari Sumber Resmi.

Jangan pernah mengunduh aplikasi perbankan atau dompet digital melalui tautan eksternal, situs web pihak ketiga, atau repositori terbuka seperti GitHub. Selalu gunakan toko aplikasi resmi seperti Google Play Store.

2. Aktifkan Fitur Google Play Protect.

Pastikan fitur pemindaian bawaan Google Play Protect selalu berada dalam kondisi aktif di perangkat Anda. Fitur ini berfungsi sebagai garda pertama untuk mendeteksi dan memblokir instalasi APK yang terindikasi memiliki struktur kode mencurigakan atau rusak (malformed).

3. Waspadai Permintaan Pemindaian Kartu Fisik.

Bank resmi tidak pernah meminta nasabahnya untuk menempelkan kartu ATM fisik ke sensor NFC ponsel sebagai bagian dari prosedur verifikasi pembaruan aplikasi atau validasi keamanan akun. Jika Anda menemui instruksi demikian, segera tutup aplikasi tersebut.

4. Matikan Fitur NFC Jika Tidak Digunakan.

Untuk memperkecil area serangan siber, biasakan untuk menonaktifkan fitur NFC pada pengaturan ponsel Anda dan hanya menyalakannya sewaktu Anda hendak melakukan transaksi pembayaran resmi atau pengisian saldo kartu elektronik.

Sekat yang Semakin Tipis

Evolusi malware NFCShare menjadi bukti nyata bahwa batas-batas keamanan siber pada perangkat seluler kian tipis.

Kemampuan peretas dalam memanfaatkan platform distribusi legal seperti GitHub, dikombinasikan dengan teknik pengelabuan sistem pemindaian antivirus Poisoned ZIP, menegaskan bahwa pengguna tidak boleh lagi bersikap lengah.

Keamanan aset finansial di era digital saat ini tidak hanya ditentukan oleh kuatnya kata sandi akun, melainkan dari kedisiplinan dalam menyaring sumber aplikasi serta akal sehat untuk menolak permintaan pemindaian perangkat keras yang tidak wajar.

Dengan menerapkan prinsip kehati-hatian yang ketat serta rutin melakukan pembaruan sistem operasi secara resmi, nasabah dapat membentengi diri dari ancaman pengurasan saldo oleh jaringan kriminal siber internasional.

Sumber berita:

WeLiveSecurity