Kampanye NGate di Brasil: HandyPay Jadi Trojan untuk Curi Data NFC dan PIN

Peneliti keamanan siber baru-baru ini mengungkapkan adanya varian baru malware Android bernama NGate yang menyalahgunakan aplikasi resmi HandyPay untuk mencuri data NFC dan PIN kartu pembayaran. Kampanye ini secara khusus menargetkan pengguna di Brasil sejak November 2025, yang menimbulkan ancaman serius bagi keamanan transaksi nirkontak dan perbankan digital.

Modus Operandi Trojanisasi HandyPay untuk Mencuri Data NFC

Menurut peneliti dari ESET, Lukáš Štefanko, para pelaku kejahatan siber memanfaatkan aplikasi HandyPay yang seharusnya berfungsi untuk relai data NFC. Mereka memasukkan kode berbahaya yang diduga dihasilkan oleh kecerdasan buatan (AI) ke dalam aplikasi tersebut sehingga mampu mencuri data kartu pembayaran korban.

"Para pelaku mengambil aplikasi yang digunakan untuk mengirim data NFC dan menyisipkan kode berbahaya yang tampaknya dihasilkan oleh AI," ujar Lukáš Štefanko dalam laporan yang dibagikan kepada The Hacker News.

Kode jahat ini tidak hanya mencuri data NFC, tetapi juga dapat menangkap PIN kartu pembayaran dan mengirimkannya ke server kendali pelaku (C2), sehingga memungkinkan penarikan uang tunai ilegal di ATM dan pembayaran tidak sah.

Sejarah dan Perkembangan NGate

NGate, yang juga dikenal sebagai NFSkate, pertama kali terungkap oleh vendor keamanan Slovakia pada Agustus 2024. Malware ini dikenal mampu melakukan serangan relay untuk menyedot data pembayaran nirkontak korban guna melakukan transaksi penipuan.

Setahun kemudian, perusahaan keamanan seluler asal Belanda, ThreatFabric, mengidentifikasi varian bernama RatOn yang menggunakan aplikasi dropper menyerupai versi TikTok dewasa untuk menyebarkan NGate.

Namun, yang terbaru, ESET mencatat kampanye NGate kini fokus menyerang pengguna di Brasil dengan cara menyusupi aplikasi HandyPay. Pengguna diarahkan mengunduh aplikasi berbahaya melalui situs palsu yang menyamar sebagai Rio de Prêmios, sebuah undian resmi dari organisasi lotere negara bagian Rio de Janeiro, serta halaman Google Play Store palsu yang menawarkan aplikasi perlindungan kartu.

Metode Penipuan dan Penyebaran Aplikasi Palsu

Situs undian palsu mencoba meyakinkan korban untuk mengirim pesan WhatsApp agar mengklaim hadiah uang, yang selanjutnya mengarahkan mereka mengunduh versi HandyPay yang sudah disusupi malware. Setelah terpasang, aplikasi meminta pengguna untuk menjadikannya aplikasi pembayaran default.

Korban kemudian diminta memasukkan PIN kartu pembayaran dan menggesekkan kartu NFC di bagian belakang ponsel. Saat langkah ini dilakukan, malware secara diam-diam mencuri data NFC dan PIN, lalu mengirimkannya ke pelaku.

Melalui data yang dicuri tersebut, pelaku dapat melakukan penarikan uang tunai di ATM dan pembayaran tidak sah dengan mudah.

Kampanye ini diperkirakan mulai aktif sejak November 2025. Versi berbahaya HandyPay ini tidak pernah tersedia di Google Play Store resmi, sehingga pengelabuan pengguna melalui situs dan halaman palsu menjadi metode utama penyebarannya. HandyPay sendiri telah memulai investigasi internal terkait insiden ini.

Alasan Pelaku Memilih HandyPay

ESET mengemukakan bahwa harga berlangganan HandyPay yang lebih murah dibanding solusi lain yang bisa mencapai lebih dari $400 per bulan menjadi alasan pelaku beralih menggunakan aplikasi ini. Selain itu, HandyPay hanya meminta aplikasi tersebut dijadikan aplikasi pembayaran default tanpa memerlukan izin tambahan, sehingga mengurangi kecurigaan pengguna.

Analisis artefak malware juga menunjukkan adanya penggunaan emoji pada pesan debug dan toast, yang mengindikasikan kemungkinan keterlibatan model bahasa besar (LLM) dalam pembuatan atau modifikasi kode sumber malware. Hal ini mencerminkan tren baru di mana pelaku kejahatan siber mulai memanfaatkan AI generatif untuk menciptakan malware tanpa keahlian teknis mendalam.

Risiko dan Tren Meningkatnya Penipuan NFC

ESET menegaskan bahwa kemunculan kampanye baru NGate menunjukkan penipuan menggunakan teknologi NFC semakin meningkat. Alih-alih menggunakan solusi yang sudah ada seperti NFCGate atau layanan Malware-as-a-Service (MaaS), pelaku memilih men-trojanisasi HandyPay yang sudah memiliki fungsi relay NFC.

Analisis Redaksi

Menurut pandangan redaksi, kampanye NGate yang menargetkan Brasil ini menandai sebuah peringatan serius tentang bagaimana aplikasi resmi dapat menjadi kendaraan kejahatan siber melalui teknik trojanisasi yang semakin canggih. Penggunaan AI untuk menghasilkan kode jahat membuka babak baru dalam evolusi malware yang lebih sulit dideteksi dan ditangkal.

Selain itu, fakta bahwa pelaku menggunakan metode sosial engineering melalui situs undian palsu dan WhatsApp menunjukkan bahwa edukasi keamanan digital kepada masyarakat sangat krusial saat ini. Masyarakat perlu waspada terhadap aplikasi yang meminta akses pembayaran default dan memasukkan PIN di luar konteks resmi.

Ke depan, penting untuk memantau apakah serangan serupa akan menyasar negara lain dan bagaimana industri keamanan siber menanggapi tren pemanfaatan AI dalam pembuatan malware. Pengguna di seluruh dunia harus meningkatkan kewaspadaan terhadap aplikasi pembayaran dan selalu mengunduh aplikasi hanya dari sumber resmi.

Untuk informasi lebih lanjut dan pembaruan terkini tentang keamanan siber, Anda dapat mengunjungi sumber asli artikel ini di The Hacker News serta mengikuti berita dari Kompas.