Security

Ancaman NFCShare: Malware Android Kloning Kartu ATM Menyebar Lewat Update Palsu di GitHub

33 seconds ago
3 minutes read

Para peneliti keamanan siber mendeteksi kemunculan varian baru dari malware Android berbahaya bernama NFCShare. Malware ini didistribusikan dengan menyamar sebagai pembaruan (update) aplikasi perbankan resmi yang diinang (hosted) secara ilegal pada repositori GitHub.

Evolusi terbaru malware ini secara agresif mengincar nasabah dari berbagai institusi finansial besar di wilayah Eropa melalui kampanye phishing canggih yang bertujuan untuk mencuri data kartu debit/kredit fisik secara instan.

1. Modus Operandi: Rekayasa Sosial dan Kloning Kartu via Chip NFC

NFCShare menggunakan kombinasi teknik rekayasa sosial (social engineering) yang meyakinkan untuk memanipulasi korbannya agar menyerahkan kartu ATM fisik mereka ke dekat ponsel:

[Situs Phishing Bank Palsu] ──► Korban Memasukkan Kredensial Login Utama
                                         │
                                         ▼ (Diminta Update Aplikasi)
[Unduh APK Palsu dari GitHub] ──► Menginstal Malware NFCShare ke Ponsel
                                         │
                                         ▼ (Tampilan Layar Verifikasi Keamanan Palsu)
[Tempelkan Kartu Fisik ke HP] ──► Malware Membaca Data Chip Kartu via Sensor NFC + Minta PIN
                                         │
                                         ▼ (WebSocket Channel)
[Eksfiltrasi Data ke Server C2] ──► Peretas Menggunakan Data untuk Skema Pembayaran Relay
  1. Pancingan Kredensial & Pengalihan GitHub: Serangan dimulai ketika korban dijebak masuk ke situs web phishing yang menyerupai laman resmi bank. Setelah korban memasukkan data login, situs akan menampilkan pesan darurat yang meminta korban segera memperbarui aplikasi perbankan mereka, lalu mengalihkannya ke tautan unduhan file APK jahat di GitHub.
  2. Eksploitasi Sensor NFC: Setelah aplikasi terinstal, malware akan menampilkan layar verifikasi keamanan palsu. Korban diminta untuk menempelkan kartu ATM/kredit fisik mereka ke bagian belakang ponsel.
  3. Penyedotan Data Menggunakan IsoDep: Memanfaatkan antarmuka IsoDep Android dan serangkaian perintah standar EMV, NFCShare secara nirkabel membaca nomor kartu, tipe kartu, serta tanggal kedaluwarsa langsung dari chip NFC kartu tersebut.
  4. Pencurian PIN 4-Digit: Untuk menyempurnakan pembobolan, aplikasi palsu tersebut meminta korban mengetikkan kode PIN 4-digit kartu mereka dengan dalih sebagai langkah otentikasi keamanan.

Seluruh paket data yang berhasil dikuras kemudian dikirimkan secara real-time ke server perintah peretas (Command and Control / C2) menggunakan jalur komunikasi WebSocket. Data kartu hasil curian ini nantinya dapat disalahgunakan oleh penyerang untuk melancarkan skema pembayaran NFC payment relay (transaksi ilegal jarak jauh menggunakan identitas kartu korban), serupa dengan modus operandi pada malware NGate, SuperCard X, dan RelayNFC.

2. Wilayah Target dan Daftar Aplikasi Bank yang Dipalsukan

NFCShare pertama kali didokumentasikan oleh lembaga riset keamanan D3Lab pada Januari 2026. Menurut Andrea Draghetti, peneliti senior dari D3Lab, malware ini memiliki struktur kode, pustaka (libraries), dan implementasi arsitektur yang unik dan berbeda dari malware NFC lainnya, mengindikasikan adanya tim pengembang terdedikasi di balik layarnya.

Pada awal kemunculannya di bulan Januari, malware ini terpantau hanya menargetkan nasabah Deutsche Bank di Jerman. Namun, sejak serangan gelombang baru yang terdeteksi pada 14 Mei 2026, jangkauan targetnya meluas drastis ke wilayah Italia dan Spanyol.

Repositori GitHub berbahaya yang dibuat sejak 10 April 2026 tersebut tercatat telah menampung 56 varian APK unik yang memalsukan aplikasi kartu dan perbankan populer berikut:

  • Intesa Carte.apk (Italia)
  • Sella Carte.apk / Banca Sella Carte.apk (Italia)
  • Nexi Carte.apk (Italia)
  • Fideuram Carte.apk (Italia)
  • Mooney Carte.apk (Italia)
  • CaixaBank.apk / CaixaBankNfc.apk / CaixaReactivaTarjeta.apk (Spanyol)

3. Trik “Poisoned APK” untuk Mengecoh Antivirus

Salah satu aspek teknis paling menarik dari versi baru NFCShare adalah diperkenalkannya metode manipulasi paket arsip APK (malformed/poisoned APK packaging) untuk meloloskan diri dari deteksi otomatis.

Meskipun berkas APK pada dasarnya merupakan sebuah file kompresi ZIP, peretas sengaja meracuni jalur penulisan folder internal (file paths) di dalam arsip tersebut. Akibatnya, ketika sistem atau alat pemindai keamanan (automated static analysis tools) mencoba mengekstrak file untuk dianalisis, alat tersebut akan salah menginterpretasikan jalur relatif sebagai jalur sistem utama, sehingga memicu eror (crash).

Kendati trik ini sukses membutakan deteksi otomatis di beberapa sistem antivirus, D3Lab menegaskan metode ini sama sekali tidak menghalangi para ahli forensik untuk melakukan analisis kode secara manual (manual analysis).

Langkah Perlindungan Bagi Pengguna Android

Guna mengamankan gawai dan rekening tabungan Anda dari ancaman kloning kartu digital via NFCShare, pastikan Anda menerapkan protokol keamanan berikut:

  • Hanya Unduh dari Google Play Store: Jangan pernah menginstal aplikasi perbankan atau keuangan dari tautan luar seperti GitHub, Google Drive, atau situs pihak ketiga. Bank resmi tidak akan pernah mendistribusikan aplikasi mereka lewat GitHub kepada nasabah umum.
  • Aktifkan Google Play Protect: Pastikan fitur pemindai bawaan Android ini selalu dalam kondisi aktif untuk mendeteksi aplikasi berbahaya di latar belakang.
  • Waspadai Permintaan Scan NFC: Jangan pernah menempelkan kartu ATM, kartu kredit, atau kartu uang elektronik Anda ke sensor NFC ponsel jika diminta oleh aplikasi yang tidak jelas asal-usulnya, terutama yang mengklaim sebagai “prosedur verifikasi keamanan”.

Sumber: Laporan Forensik Mobile Malware D3La

Tags
33 seconds ago
3 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button