Artikel Terbaru

Ancaman Baru: PhantomCard Serang Bank Lewat NFC & Root

Ilustrasi Fraud di Perbankan

Ilustrasi Fraud di Perbankan

Dunia perbankan kembali diguncang oleh ancaman siber terbaru. Para peneliti keamanan menemukan sebuah malware Android baru bernama PhantomCard, yang dirancang khusus untuk mencuri data nasabah bank dengan memanfaatkan teknologi Near-Field Communication (NFC), teknik pembajakan panggilan telepon, hingga eksploitasi root perangkat Android. Serangan ini dilaporkan pertama kali menargetkan pengguna di Brasil, namun berpotensi menyebar ke berbagai belahan dunia, termasuk Asia Tenggara.

 

PhantomCard: Trojan Android dengan Kemampuan Canggih

Menurut laporan keamanan dari ThreatFabric, PhantomCard bekerja dengan cara meneruskan data NFC dari kartu bank korban langsung ke perangkat milik penjahat. Dengan teknik ini, penipu dapat melakukan transaksi seolah-olah mereka memiliki kartu fisik milik korban di tangan mereka.

PhantomCard sendiri bukan malware biasa. Trojan ini berbasis pada layanan malware-as-a-service (MaaS) asal Tiongkok bernama NFU Pay, yang dipasarkan secara terbuka melalui saluran Telegram. Penjahat siber dapat “menyewa” atau membeli akses PhantomCard untuk menjalankan aksi kriminal mereka, membuatnya semakin mudah diakses oleh siapa pun yang ingin melakukan penipuan.

ThreatFabric menegaskan, “Dengan cara ini, PhantomCard membuat saluran antara kartu fisik korban dan mesin ATM atau terminal PoS yang digunakan penipu. Seolah-olah kartu korban berada langsung di tangan mereka.”

 

Modus Penyebaran: Mengaku Aplikasi Proteksi Kartu

PhantomCard disebarkan dengan menyamar sebagai aplikasi keamanan palsu di sebuah halaman web yang dibuat menyerupai Google Play Store. Aplikasi ini diberi nama “Proteção Cartões” dengan paket mencurigakan seperti com.nfupay.s145 atau com.rc888.baxi.English.

Untuk meyakinkan calon korban, halaman palsu ini dipenuhi ulasan positif palsu. Meski belum terungkap secara detail bagaimana tautan tersebut tersebar, para peneliti menduga cara distribusi utamanya adalah melalui smishing (SMS phishing) atau trik rekayasa sosial lainnya.

Begitu terinstal, aplikasi akan meminta korban menempelkan kartu kredit atau debit di bagian belakang ponsel untuk proses verifikasi palsu. Korban kemudian melihat pesan di layar: “Card Detected! Keep the card nearby until authentication is complete.”

Faktanya, data kartu tersebut langsung dikirim ke server relay NFC yang dikendalikan pelaku. Aplikasi juga meminta korban memasukkan PIN kartu, yang membuat penipu dapat dengan leluasa menggunakannya untuk transaksi ilegal.

 

Jejaring Kriminal di Balik PhantomCard

Investigasi ThreatFabric menemukan bahwa PhantomCard dikembangkan oleh seorang penjual malware yang dikenal sebagai Go1ano developer, salah satu “reseller” terkenal di Brasil. Go1ano memasarkan PhantomCard sebagai solusi global, mengklaim malware ini 100% tidak terdeteksi dan kompatibel dengan semua mesin PoS berbasis NFC.

Selain PhantomCard, terdapat juga produk serupa di pasar gelap seperti SuperCard X, KingNFC, hingga X/Z/TX-NFC, yang semuanya menawarkan kemampuan mencuri data kartu bank lewat teknologi NFC.

Model bisnis ini menandakan bahwa kejahatan siber semakin terorganisir, dengan sistem jual-beli yang mirip layanan digital legal, hanya saja ditujukan untuk aktivitas kriminal.

 

Ancaman Meluas ke Asia Tenggara

Ancaman NFC relay fraud ternyata bukan hanya masalah di Brasil. Laporan terbaru dari Resecurity menunjukkan bahwa Filipina kini menjadi “lahan uji coba” bagi para penjahat siber.

Berbagai alat kriminal seperti Z-NFC, X-NFC, SuperCard X, dan Track2NFC sudah beredar di sana. Para pelaku menggunakan perangkat ini untuk menggandakan data kartu curian dan kemudian melakukan transaksi ilegal yang sulit dideteksi.

Di Filipina, tren pembayaran nirsentuh (contactless payment) sedang meningkat. Celahnya adalah banyak transaksi bernilai kecil yang tidak memerlukan PIN, sehingga semakin mempermudah penjahat dalam menjalankan aksinya.

 

Malware Android Lain yang Menargetkan Bank

PhantomCard bukanlah satu-satunya malware berbahaya yang mengincar pengguna perbankan. Beberapa kampanye malware lain juga terdeteksi di berbagai negara:

  1. SpyBanker di India
    Malware ini menyebar lewat WhatsApp dengan menyamar sebagai aplikasi layanan pelanggan bank. Setelah terpasang, SpyBanker bisa mengalihkan panggilan telepon masuk korban ke nomor yang dikendalikan penyerang. Dengan cara ini, kode OTP atau verifikasi lewat telepon bisa dicuri.

    Selain itu, SpyBanker juga mengumpulkan detail SIM, informasi bank, SMS, hingga notifikasi korban, sehingga memperbesar risiko pencurian identitas.

  2. Aplikasi Kartu Kredit Palsu
    Beberapa aplikasi palsu yang meniru layanan bank besar dan ditemukan beredar di luar Google Play Store, seperti:
    • Kartu Kredit Bank Axis (com.NWilfxj.FxKDr)
    • Kartu Kredit Bank ICICI (com.NWilfxj.FxKDr)
    • Kartu Kredit IndusInd (com.NWilfxj.FxKDr)
    • Kartu Kredit State Bank of India (com.NWilfxj.FxKDr)

    Aplikasi ini menampilkan tampilan meyakinkan dan meminta korban mengisi data pribadi seperti nomor kartu, CVV, hingga nomor ponsel.

    Nyatanya, aplikasi tersebut hanyalah dropper yang nantinya akan memasang malware berbahaya, termasuk cryptocurrency miner XMRig.

Menurut McAfee, para pelaku menggunakan halaman phishing yang meniru situs resmi bank dengan sangat detail, bahkan memakai aset asli seperti gambar dan JavaScript, sehingga sulit dibedakan oleh pengguna awam.

 

Eksploitasi Root Exploits: Ancaman Lebih Dalam

Selain mencuri data kartu, peneliti dari Zimperium zLabs menemukan bahwa framework rooting Android seperti KernelSU, APatch, dan SKRoot kini juga disalahgunakan penjahat siber.

Misalnya, di KernelSU versi 0.5.7 terdapat celah yang memungkinkan aplikasi berbahaya berpura-pura sebagai pengelola KernelSU, sehingga dapat menguasai penuh perangkat yang sudah di-root.

Peneliti keamanan Marcel Bathke mengingatkan:
 “Karena panggilan sistem bisa dipicu oleh aplikasi apa pun, maka autentikasi dan kontrol akses yang kuat sangat penting. Sayangnya, lapisan ini sering diterapkan dengan buruk atau bahkan diabaikan, sehingga membuka peluang risiko serius.”

 

Implikasi untuk Dunia Perbankan

Fenomena PhantomCard dan malware serupa memperlihatkan bahwa kejahatan siber kini semakin lintas batas, tidak lagi terbatas pada satu negara atau sistem finansial. Model layanan malware-as-a-service membuat siapa pun dengan modal bisa melakukan penipuan berskala internasional.

Bagi lembaga keuangan, situasi ini menjadi tantangan besar. Deteksi tradisional mungkin tidak cukup, karena transaksi dari PhantomCard terlihat sah dan berasal dari perangkat tepercaya.

Industri perbankan perlu meningkatkan sistem deteksi penipuan real-time, edukasi nasabah, serta memperketat autentikasi multi-faktor untuk mencegah penyalahgunaan data kartu.

 

Ghost Tap: Ancaman Baru dari Sindikat Siber Berbahasa Mandarin

Setelah munculnya malware PhantomCard yang menyalahgunakan teknologi NFC untuk menipu nasabah perbankan, kini muncul laporan terbaru mengenai teknik serupa yang dikenal dengan nama Ghost Tap. Laporan ini diungkap oleh perusahaan intelijen siber Recorded Future, yang menemukan bahwa aktor ancaman berbahasa Mandarin semakin sering memanfaatkan teknik relay berbasis NFC untuk melancarkan penipuan ritel berskala besar.

Ghost Tap bekerja dengan cara menghubungkan detail kartu pembayaran curian ke layanan dompet digital seperti Apple Pay dan Google Pay. Dengan teknik ini, penipu dapat melakukan pembayaran seolah-olah mereka adalah pemilik sah kartu tersebut.

Jaringan Kriminal Terorganisir
Investigasi menemukan bahwa aktivitas Ghost Tap banyak dilacak ke akun @webu8 dan @djdj8884 di Telegram. Akun-akun ini diketahui mempromosikan berbagai layanan ilegal, termasuk:

  • Ponsel sekali pakai (burner phone) untuk transaksi cepat tanpa jejak,
  • Layanan ghost-tapping yang memanfaatkan kartu curian,
  • Kredensial kartu pembayaran hasil kompromi.

Layanan tersebut diperdagangkan melalui platform escrow di Telegram, seperti Huione Guarantee, Xinbi Guarantee, dan Tudou Guarantee, yang berfungsi sebagai perantara transaksi agar aman bagi para pelaku kejahatan.

Cara Kerja Ghost Tap
Menurut Recorded Future, sindikat kriminal berbahasa Mandarin menggunakan otomatisasi untuk menambahkan informasi kartu pembayaran curian ke dalam dompet digital. Setelah itu, ponsel sekali pakai berisi data curian diberikan kepada kurir (mules) yang bertugas membeli barang fisik menggunakan sistem contactless payment.

Barang-barang hasil pembelian ilegal ini kemudian diangkut dan dijual kembali, menghasilkan keuntungan besar bagi sindikat. Tak hanya itu, para pelaku juga menawarkan perangkat lunak tambahan yang bisa memindahkan detail kartu curian ke perangkat seluler lain, sehingga mempermudah distribusi data curian ke banyak pihak.

Respon dari Google
Terkait ancaman ini, Google menegaskan bahwa tidak ada aplikasi berbahaya yang terkait Ghost Tap ditemukan di Google Play Store. Raksasa teknologi tersebut juga memastikan bahwa Google Play Protect, yang secara otomatis aktif di perangkat Android, mampu mendeteksi serta memblokir malware yang sudah diketahui.

Ancaman ini bukan hanya menimpa Brasil, tetapi juga mulai merambah ke Asia Tenggara dan berpotensi menyebar global. Karena itu, kolaborasi antara lembaga keuangan, penyedia teknologi, dan otoritas keamanan siber sangat dibutuhkan untuk menghadapi gelombang kejahatan digital generasi baru ini.

Bagikan artikel ini
Komentar ()

Berlangganan

Berlangganan newsletter kami dan dapatkan informasi terbaru.

Artikel Terkait

Video Terkait