Android Malware NGate Curi Data NFC untuk Penarikan Uang Ilegal

Para peneliti keamanan siber telah mengidentifikasi jenis malware Android baru bernama NGate, yang dirancang untuk mencuri data pembayaran nirkontak dari kartu kredit dan debit fisik korban. Malware ini kemudian mentransfer data tersebut ke perangkat yang dikendalikan oleh penyerang, memungkinkan mereka melakukan transaksi penipuan.

NGate, yang sedang dilacak oleh sebuah perusahaan keamanan siber asal Slovakia, terdeteksi menyerang tiga bank di Ceko. Menurut para peneliti, malware ini memiliki kemampuan unik untuk mentransfer data dari kartu pembayaran korban melalui aplikasi jahat yang terinstal pada perangkat Android. Data ini kemudian dikirimkan ke ponsel Android yang telah di-root milik penyerang, memungkinkan mereka untuk memanfaatkan informasi tersebut dalam operasi penipuan.

Peneliti keamanan siber Lukáš Štefanko dan Jakub Osmani mengungkapkan dalam analisis mereka bahwa kampanye malware ini merupakan bagian dari serangkaian serangan yang lebih besar yang menargetkan institusi keuangan di Ceko sejak November 2023. Kampanye ini menggunakan aplikasi web progresif berbahaya (PWA) dan WebAPKs untuk menipu korban. NGate pertama kali digunakan pada Maret 2024, menandai dimulainya tahap baru dalam kampanye kejahatan siber ini.

Tujuan utama dari serangan ini adalah untuk mengkloning data NFC dari kartu pembayaran korban. Setelah data NFC berhasil dicuri, informasi tersebut dikirimkan ke perangkat penyerang yang dapat meniru kartu asli untuk melakukan penarikan uang dari ATM. Teknik ini memberikan peluang bagi penyerang untuk mencuri dana tanpa memerlukan akses fisik ke kartu korban.

NGate sendiri berakar dari sebuah alat sah bernama NFCGate, yang awalnya diciptakan pada tahun 2015 oleh mahasiswa dari Secure Mobile Networking Lab di TU Darmstadt untuk keperluan penelitian keamanan. Sayangnya, fungsionalitas NFCGate kini disalahgunakan oleh penjahat siber untuk tujuan jahat.

Rantai serangan yang melibatkan NGate diyakini menggunakan kombinasi teknik rekayasa sosial dan phishing melalui SMS. Penjahat siber mengelabui pengguna untuk menginstal NGate dengan mengarahkan mereka ke situs web palsu yang meniru situs web perbankan resmi atau aplikasi perbankan seluler resmi yang ada di Google Play Store. Hingga kini, telah teridentifikasi enam aplikasi NGate berbeda yang aktif antara November 2023 hingga Maret 2024, sebelum aktivitas ini berakhir setelah otoritas Ceko menangkap seorang pria berusia 22 tahun terkait dengan pencurian uang dari ATM.

NGate tidak hanya menyalahgunakan fungsi NFCGate untuk menangkap lalu lintas NFC, tetapi juga meminta pengguna memasukkan informasi keuangan yang sensitif. Data yang diminta termasuk ID klien bank, tanggal lahir, dan kode PIN kartu perbankan. Halaman phishing yang menampilkan permintaan ini disajikan melalui antarmuka WebView.

Para peneliti mengungkapkan bahwa pengguna juga diminta untuk mengaktifkan fitur NFC pada ponsel pintar mereka. Setelah itu, korban diminta untuk menempelkan kartu pembayaran mereka di belakang ponsel hingga aplikasi jahat tersebut mengenali kartu tersebut. Metode ini memungkinkan penjahat siber mencuri data NFC dari kartu pembayaran fisik korban dengan mudah.

Serangan ini menjadi semakin licik dengan penggunaan teknik di mana setelah korban menginstal aplikasi PWA atau WebAPK berbahaya melalui tautan yang dikirim melalui SMS, kredensial mereka dicuri. Kemudian, korban akan menerima panggilan telepon dari penjahat siber yang berpura-pura sebagai karyawan bank. Mereka menginformasikan bahwa akun bank korban telah disusupi akibat menginstal aplikasi tersebut. Korban kemudian diarahkan untuk mengubah PIN dan memvalidasi kartu perbankan mereka menggunakan aplikasi lain, yakni NGate, dengan tautan instalasi yang juga dikirim melalui SMS. Tidak ada bukti bahwa aplikasi berbahaya ini pernah didistribusikan melalui Google Play Store.

Menurut para peneliti, NGate menggunakan dua server terpisah untuk menjalankan operasinya. Server pertama adalah situs web phishing yang dirancang untuk mengumpulkan informasi sensitif dari korban dan mampu memulai serangan relay NFC. Server kedua adalah server relay NFCGate, yang bertugas mengalihkan lalu lintas NFC dari perangkat korban ke perangkat penyerang, memfasilitasi penipuan.

Pengungkapan tentang NGate ini muncul bersamaan dengan laporan dari Zscaler ThreatLabz mengenai varian baru trojan perbankan Android yang dikenal sebagai Copybara. Trojan ini disebarkan melalui serangan phishing suara (vishing) dan menipu korban untuk memasukkan kredensial akun bank mereka. Varian terbaru Copybara ini telah aktif sejak November 2023 dan menggunakan protokol MQTT untuk berkomunikasi dengan server command-and-control (C2). Malware ini memanfaatkan fitur layanan aksesibilitas pada perangkat Android untuk mengendalikan perangkat yang terinfeksi dan mengunduh halaman phishing yang meniru bursa kripto serta lembaga keuangan terkenal menggunakan logo dan nama aplikasi mereka.