Tim ahli dari Kaspersky Threat Research baru saja menemukan Trojan stealer baru yang dinamakan SparkCat. Trojan ini sudah aktif di AppStore dan Google Play sejak Maret 2024. Uniknya, SparkCat adalah malware pertama yang berbasis pengenalan optik yang muncul di AppStore.

Apa yang dilakukan SparkCat? Dengan menggunakan pembelajaran mesin, SparkCat memindai galeri gambar dan mencuri tangkapan layar yang berisi frasa pemulihan dompet aset kripto. Tidak hanya itu, SparkCat juga bisa menemukan dan mengambil data sensitif lainnya yang ada dalam gambar, seperti kata sandi.

Kabar baiknya, Kaspersky telah melaporkan aplikasi berbahaya ini kepada Google dan Apple untuk ditindaklanjuti.

Cara Penyebaran

Malware ini menyebar melalui aplikasi resmi yang terinfeksi dan umpan – messenger, asisten AI, pengiriman makanan, aplikasi terkait kripto, dan banyak lagi. Beberapa aplikasi ini tersedia di platform resmi di Google Play dan AppStore. Data telemetri Kaspersky juga menunjukkan bahwa versi yang terinfeksi didistribusikan melalui sumber tidak resmi lainnya. Di Google Play, aplikasi ini telah diunduh lebih dari 242.000 kali.

Target Korban

Malware ini terutama menargetkan pengguna di UEA dan negara-negara di Eropa dan Asia. Inilah yang disimpulkan para ahli berdasarkan informasi tentang area operasional aplikasi yang terinfeksi dan analisis teknis malware. SparkCat memindai galeri gambar untuk kata kunci dalam berbagai bahasa, termasuk Cina, Jepang, Korea, Inggris, Ceko, Prancis, Italia, Polandia, dan Portugis. Namun, para ahli yakin korban juga bisa berasal dari negara lain.

Cara Kerja SparkCat

Setelah terinstal, dalam skenario tertentu malware baru tersebut meminta akses untuk melihat foto di galeri ponsel pintar pengguna. Kemudian, malware tersebut menganalisis teks dalam gambar yang tersimpan menggunakan modul pengenalan karakter optik (OCR). Jika pencuri mendeteksi kata kunci yang relevan, malware tersebut mengirimkan gambar tersebut ke penyerang. Sasaran utama peretas adalah menemukan frasa pemulihan untuk dompet aset kripto. Dengan informasi ini, mereka dapat memperoleh kendali penuh atas dompet korban dan mencuri dana. Selain mencuri frasa pemulihan, malware tersebut mampu mengekstrak informasi pribadi lainnya dari tangkapan layar, seperti pesan dan kata sandi.

“Ini adalah kasus pertama Trojan berbasis OCR yang diketahui menyusup ke AppStore,” kata Sergey Puzan, analis malware di Kaspersky. “Baik dalam hal AppStore maupun Google Play, saat ini belum jelas apakah aplikasi di toko-toko ini disusupi melalui serangan rantai pasokan atau melalui berbagai metode lainnya. Beberapa aplikasi, seperti layanan pengiriman makanan, tampak sah, sementara yang lain jelas dirancang sebagai umpan.”

“Kampanye SparkCat memiliki beberapa fitur unik yang membuatnya berbahaya. Pertama-tama, malware ini menyebar melalui toko aplikasi resmi dan beroperasi tanpa tanda-tanda infeksi yang jelas. Sifatnya yang tersembunyi membuat Trojan ini sulit dideteksi oleh moderator toko dan pengguna seluler. Selain itu, izin yang dimintanya tampak masuk akal, sehingga mudah diabaikan. Akses ke galeri yang coba dijangkau malware mungkin tampak penting agar aplikasi berfungsi dengan baik, seperti yang terlihat dari sudut pandang pengguna. Izin ini biasanya diminta dalam konteks yang relevan, seperti saat pengguna menghubungi dukungan pelanggan,” imbuh Dmitry Kalinin, analis malware di Kaspersky.

Saat menganalisis versi Android dari malware tersebut, para ahli Kaspersky menemukan komentar dalam kode yang ditulis dalam bahasa Mandarin. Selain itu, versi iOS berisi nama direktori beranda pengembang, “qiongwu” dan “quiwengjing”, yang menunjukkan bahwa pelaku ancaman di balik kampanye tersebut fasih berbahasa Mandarin. Namun, tidak ada cukup bukti untuk mengaitkan kampanye tersebut dengan kelompok penjahat dunia maya yang dikenal sebelumnya.

Dukungan Machine Learning

Penjahat dunia maya semakin memperhatikan jaringan neural dalam perangkat berbahaya mereka. Dalam kasus SparkCat, modul Android mendekripsi dan menjalankan plugin OCR menggunakan pustaka Google ML Kit untuk mengenali teks dalam gambar yang tersimpan. Metode serupa digunakan dalam modul berbahaya iOS.

Solusi Kaspersky melindungi pengguna Android dan iOS dari SparkCat. SparkCat terdeteksi sebagai HEUR:Trojan.IphoneOS.SparkCat.* dan HEUR:Trojan.AndroidOS.SparkCat.*.

Untuk menghindari menjadi korban malware ini, Kaspersky merekomendasikan langkah-langkah keamanan berikut :

• Jika Anda telah menginstal salah satu aplikasi yang terinfeksi, hapus segera dari perangkat dan jangan gunakan hingga pembaruan dirilis untuk menghilangkan fungsi berbahaya tersebut.
• Hindari menyimpan tangkapan layar yang berisi informasi sensitif di galeri Anda, termasuk frasa pemulihan dompet aset kripto. Kata sandi, misalnya, dapat disimpan dalam aplikasi khusus seperti Kaspersky Password Manager.
• Perangkat lunak keamanan siber yang andal, seperti Kaspersky Premium, dapat mencegah infeksi malware.

Threat Research

Tim Riset Ancaman (threat research) merupakan otoritas terkemuka dalam perlindungan terhadap ancaman siber. Dengan terlibat aktif dalam analisis ancaman dan penciptaan teknologi, para ahli TR kami memastikan bahwa solusi keamanan siber Kaspersky memiliki informasi yang mendalam dan sangat ampuh, menyediakan intelijen ancaman utama dan keamanan yang tangguh bagi klien kami dan masyarakat luas.