Malware relay Near-Field Communication (NFC) semakin populer di Eropa Timur, dengan para peneliti menemukan lebih dari 760 aplikasi Android berbahaya yang menggunakan teknik ini untuk mencuri informasi kartu pembayaran seseorang dalam beberapa bulan terakhir.
Berbeda dengan trojan perbankan tradisional yang menggunakan overlay untuk mencuri kredensial perbankan atau alat akses jarak jauh untuk melakukan transaksi penipuan, malware NFC menyalahgunakan Host Card Emulation (HCE) Android untuk meniru atau mencuri data kartu kredit dan pembayaran nirkontak.
Mereka menangkap bidang EMV, merespons perintah APDU dari terminal POS dengan balasan yang dikendalikan penyerang, atau meneruskan permintaan terminal ke server jarak jauh, yang menghasilkan respons APDU yang tepat untuk memungkinkan pembayaran di terminal tanpa kehadiran pemegang kartu fisik.
Teknik ini pertama kali terlihat di alam liar pada tahun 2023 di Polandia, diikuti oleh kampanye di Republik Cekodan kemudian, lebih masif gelombang serangan di Rusia.
Seiring waktu, berbagai varian muncul dengan pendekatan praktis yang berbeda, termasuk:
- Pemanen data yang mengekstraksi bidang EMV ke Telegram atau titik akhir lainnya,
- Perangkat relai yang meneruskan APDU ke perangkat berpasangan jarak jauh,
- Pembayaran “ketuk hantu”. di mana respons HCE dimanipulasi untuk mengotorisasi transaksi POS secara real time,
- Dan PWA atau aplikasi bank palsu yang terdaftar sebagai pengendali pembayaran default di Android.
Menurut perusahaan keamanan seluler Zimperium, anggota ‘Aliansi Pertahanan Aplikasi’ Google, popularitas malware NFC di Android telah meledak akhir-akhir ini, khususnya di Eropa Timur.
“Apa yang awalnya hanya berupa beberapa sampel terisolasi kini telah berkembang menjadi lebih dari 760 aplikasi jahat yang teramati di alam liar—menunjukkan bahwa penyalahgunaan relai NFC tidak melambat namun terus meningkat,” jelas Zimperium.
“Kampanye yang sebelumnya didokumentasikan oleh vendor lain kini memperluas jangkauannya ke wilayah lain, termasuk Rusia, Polandia, Republik Ceko, Slovakia, dan lainnya.”
Sumber: Zimperium
Perusahaan ini telah mengidentifikasi lebih dari 70 server perintah dan kontrol (C2) dan pusat distribusi aplikasi yang mendukung kampanye ini, serta lusinan bot Telegram dan saluran pribadi yang digunakan untuk menyaring data yang dicuri atau mengoordinasikan operasi.
Aplikasi yang digunakan untuk mendistribusikan malware meniru Google Pay atau lembaga keuangan seperti Santander Bank, VTB Bank, Tinkoff Bank, ING Bank, Bradesco Bank, Promsvyazbank (PSB), dan beberapa lainnya.
Sumber: Zimperium
Pengguna Android disarankan untuk tidak pernah memasang APK dari luar Google Play kecuali mereka secara jelas memercayai penerbitnya, hanya memasang aplikasi perbankan dari tautan bank resmi, dan memeriksa izin yang mencurigakan, seperti akses NFC atau hak istimewa layanan latar depan.
Selain itu, disarankan untuk memindai perangkat Anda secara rutin dengan Play Protect, alat anti-malware bawaan Android, dan menonaktifkan NFC jika tidak diperlukan.
Daftar lengkap APK Zimperium yang ditemukan di alam liar adalah tersedia di sini.
