Lonjakan Besar Malware NFC Relay di Eropa Timur Curi Data Kartu Kredit Pengguna Android

Serangan siber berbasis Near-Field Communication (NFC) tengah meningkat pesat di Eropa Timur. Peneliti keamanan menemukan lebih dari 760 aplikasi Android berbahaya yang menggunakan teknik relay NFC untuk mencuri data kartu pembayaran pengguna dalam beberapa bulan terakhir.

💳 Bagaimana Cara Kerja Malware NFC Relay

Berbeda dengan banking trojan tradisional yang mencuri kredensial lewat tampilan palsu (overlay) atau kontrol jarak jauh, malware NFC memanfaatkan fitur Host Card Emulation (HCE) di Android untuk:

• Meniru (emulate) kartu kredit tanpa kontak, atau
• Mencuri data EMV dari kartu yang disimpan di perangkat pengguna.

Teknologi ini memungkinkan malware:

• Menangkap data transaksi (EMV fields).
• Menjawab perintah POS terminal (APDU commands) dengan respons palsu.
• Atau meneruskan permintaan ke server jarak jauh yang menghasilkan balasan APDU seolah-olah berasal dari kartu fisik korban.

Dengan metode ini, pelaku bisa melakukan pembayaran di terminal toko tanpa kehadiran pemilik kartu.

📍 Asal dan Penyebaran Serangan

• 2023: Kasus pertama ditemukan di Polandia.
• 2024: Menyebar ke Republik Ceko.
• 2025: Gelombang besar terdeteksi di Rusia, dan kini meluas ke Slovakia, Hungaria, dan negara Eropa Timur lainnya.

Perusahaan keamanan seluler Zimperium (anggota Google App Defense Alliance) mengungkapkan bahwa jumlah malware jenis ini melonjak tajam:

“Dari hanya beberapa sampel kini menjadi lebih dari 760 aplikasi aktif di alam liar,” tulis laporan Zimperium.

🧠 Jenis dan Variasi Malware NFC Relay

Para peneliti menemukan berbagai pendekatan teknis dalam varian malware ini:

1. Data Harvesters — mencuri data EMV dan mengirimkannya ke kanal Telegram atau server lain.
2. Relay Toolkits — meneruskan komunikasi terminal POS ke perangkat jarak jauh yang dikendalikan peretas.
3. Ghost-Tap Payments — memodifikasi respons HCE agar transaksi POS disetujui secara real-time.
4. PWA / Fake Bank Apps — aplikasi web atau bank palsu yang mendaftarkan diri sebagai default payment handler di Android.

🕵️‍♂️ Skala Serangan

Zimperium mengidentifikasi:

• >70 server Command & Control (C2),
• Puluhan bot & kanal Telegram pribadi,
• dan sejumlah portal distribusi aplikasi berbahaya.

Banyak dari aplikasi ini meniru Google Pay atau aplikasi bank terkenal, seperti:

• Santander Bank
• VTB Bank
• Tinkoff Bank
• ING Bank
• Bradesco Bank
• Promsvyazbank (PSB), dan lainnya.

⚠️ Langkah Pencegahan untuk Pengguna Android

1. Jangan instal APK dari luar Google Play Store, kecuali benar-benar mempercayai sumbernya.
2. Unduh aplikasi perbankan hanya dari tautan resmi bank.
3. Periksa izin aplikasi, terutama jika meminta akses NFC atau foreground service.
4. Gunakan Google Play Protect untuk memindai malware secara berkala.
5. Nonaktifkan fitur NFC jika tidak digunakan untuk pembayaran.

Daftar lengkap aplikasi berbahaya yang ditemukan Zimperium dapat diakses di situs resmi laporan mereka.

🔍 Kesimpulan

Lonjakan malware NFC relay ini menunjukkan evolusi baru kejahatan finansial mobile, di mana peretas mengeksploitasi fitur teknologi pembayaran nirkabel untuk mencuri data kartu secara nyata dan instan.
Dengan maraknya adopsi pembayaran contactless di Eropa, ancaman ini bisa menjadi tren global jika tidak segera ditangani oleh penyedia platform dan regulator finansial.

Sumber: Zimperium