Malware Android NGate Gunakan Aplikasi NFC HandyPay untuk Curi Data Kartu

Sebuah varian baru dari malware NGate yang dikenal mencuri data pembayaran NFC kini menargetkan pengguna Android dengan bersembunyi di dalam versi trojan dari HandyPay, sebuah alat pemrosesan pembayaran seluler yang sah.

Malware NGate pertama kali didokumentasikan pada pertengahan tahun 2024. Ancaman ini bekerja dengan mencuri informasi kartu pembayaran melalui chip Near-Field Communication (NFC) pada perangkat seluler. Data yang dicuri kemudian dikirimkan kepada penyerang, yang akan membuat kartu virtual untuk melakukan pembelian tidak sah atau menarik uang tunai dari ATM yang mendukung fitur pemindaian NFC.

Evolusi: Dari NFCGate ke HandyPay

Pada versi-versi awalnya, malware ini menggunakan alat sumber terbuka (open-source) bernama NFCGate untuk menangkap, menyampaikan, dan memutar ulang informasi kartu pembayaran.

Namun, penelitian terbaru dari ESET merinci varian baru yang kini menggunakan modifikasi dari aplikasi HandyPay. Aplikasi sah yang telah tersedia di Google Play sejak 2021 ini pada dasarnya mendukung transmisi data berbasis NFC antarperangkat. Fungsionalitas inilah yang disalahgunakan oleh NGate untuk mengeksfiltrasi informasi kartu korban.

Menariknya, para peneliti ESET menemukan bahwa potongan kode dalam malware NGate baru ini mengandung susunan emoji, yang mungkin mengindikasikan bahwa pengembangnya menggunakan alat AI generatif untuk menulis kode tersebut.

Alasan Peralihan Taktik

ESET meyakini bahwa alasan di balik peralihan dari NFCGate ke HandyPay kemungkinan besar didorong oleh motif finansial dan upaya penghindaran deteksi (evasion).

• Faktor Biaya: Peneliti menggarisbawahi tingginya biaya alat relai NFC komersial di pasar gelap. Alat seperti NFU Pay diiklankan dengan harga hampir USD 400 per bulan, sementara TX-NFC dibanderol sekitar USD 500 per bulan. Di sisi lain, HandyPay jauh lebih murah, hanya meminta “donasi” sebesar €9,99 per bulan.
• Faktor Siluman: Selain dari segi harga, HandyPay secara bawaan tidak memerlukan izin sistem yang rumit atau mencurigakan, melainkan hanya meminta izin untuk dijadikan aplikasi pembayaran default. Hal ini sangat membantu aktor ancaman menghindari kecurigaan dari sistem keamanan maupun kewaspadaan pengguna.

Target dan Metode Distribusi

Dalam hal penargetan, ESET melaporkan bahwa kampanye yang menggunakan varian terbaru ini telah aktif sejak November 2025, dengan target utama memfokuskan perangkat Android di wilayah Brasil.

Kampanye ini mengandalkan dua metode distribusi utama:

1. Aplikasi Palsu: Memikat pengguna agar mengunduh aplikasi palsu bernama “Proteção Cartão” (Perlindungan Kartu) dari halaman situs web yang didesain agar terlihat seperti Google Play.
2. Undian Palsu: Menggunakan situs web undian palsu di mana pengunjung diklaim “memenangkan hadiah” dan diarahkan ke WhatsApp untuk mengklaimnya, yang pada akhirnya berujung pada penipuan untuk mengunduh fail APK berbahaya.

Cara Kerja dan Pencegahan

Setelah berhasil diinstal, aplikasi berbahaya ini akan mendesak pengguna untuk mengaturnya sebagai aplikasi pembayaran NFC default, meminta pengguna untuk memasukkan PIN kartu mereka, dan menginstruksikan mereka untuk menempelkan kartu fisik ke bagian belakang ponsel agar dapat “dibaca”. Semua informasi sensitif yang dikumpulkan melalui cara ini kemudian dikirim langsung ke alamat email penyerang yang telah ditanamkan (hardcoded) ke dalam kode aplikasi.

Langkah Mitigasi: Untuk menghindari ancaman ini, pengguna Android sangat disarankan untuk:

• Tidak pernah mengunduh fail APK dari luar ekosistem resmi Google Play, kecuali benar-benar memercayai penerbitnya.
• Menonaktifkan fitur NFC pada pengaturan perangkat jika sedang tidak digunakan.
• Mengaktifkan Google Play Protect untuk memindai ancaman secara rutin (sistem milik Google ini dilaporkan telah mampu mendeteksi dan memblokir varian NGate terbaru tersebut).