• Menggunakan Google ML Kit untuk ekstraksi teks, SparkCat mentransmisikan data yang dicuri melalui saluran komunikasi terenkripsi, sehingga menyulitkan pendeteksian.
  • Metode serangan SparkCat yang unik mencakup kerangka kerja Objective-C di iOS dan SDK berbasis Java di Android.

Malware baru, SparkCat, menurut laporan 4 Februari oleh perusahaan keamanan siber Kaspersky, telah muncul sebagai tantangan bagi pengguna kripto Android dan iOS. Malware ini muncul tertanam di dalam aplikasi lain yang tampaknya tidak berbahaya. Selain itu, malware ini mendapatkan detail penting pengguna dari perangkat selulernya dengan pendekatan yang canggih.

SparkCat Menggunakan Pengenalan Karakter Optik untuk Pencurian

SparkCat memindai gambar yang disimpan di galeri perangkat untuk frasa pemulihan dompet kripto. Ia melakukan pemindaian melalui Optical Character Recognition, sebuah teknologi yang menangkap teks dari gambar. Pengguna yang menyimpan beberapa tangkapan layar dan catatan yang berkaitan dengan dompet adalah korban potensial dari kompromi data.

Malware ini mulai beroperasi pada Maret 2024, dan menginfeksi aplikasi termasuk aplikasi perpesanan AI dan layanan pemesanan makanan di Google Play Store dan App Store yang dijalankan oleh Apple. Menariknya, ini adalah kali pertama jenis malware berbasis OCR mencuri kripto menggunakan perangkat Apple.

Di Android, malware ini menyebar melalui SDK yang disebut Spark, yang berbasis Java, menyamar sebagai modul analisis dan disuntikkan ke dalam aplikasi. Ketika pengguna meluncurkan aplikasi yang terinfeksi, malware akan mengambil file konfigurasi terenkripsi dari repositori GitLab jarak jauh.

Setelah diaktifkan, SparkCat menggunakan fungsionalitas OCR Google ML Kit untuk memindai gambar di dalam galeri perangkat. Malware ini mencari kata kunci yang terkait dengan frasa pemulihan dompet kripto dalam berbagai bahasa, termasuk bahasa Inggris, Mandarin, Jepang, Korea, dan beberapa bahasa Eropa, lapor KasperSky.

Malware ini mengirimkan gambar ke server yang dikendalikan oleh penyerang untuk mengeksfiltrasi data yang dicuri. Metode transfer termasuk penggunaan penyimpanan awan Amazon, bersama dengan protokol berbasis Rust. Hal ini membuatnya sangat sulit untuk dilacak karena melibatkan saluran komunikasi terenkripsi dan teknik transmisi data yang tidak biasa.

kompromi iOS Melalui Kerangka Kerja Berbahaya

Varian iOS dari SparkCat bekerja dengan cara yang berbeda karena menyematkan dirinya sendiri di dalam aplikasi yang disusupi sebagai kerangka kerja dengan berbagai nama seperti GZIP, googleappsdk, atau stat. Kerangka kerja berbahaya ini, yang ditulis dalam Objective-C, dikaburkan menggunakan HikariLLVM dan mengintegrasikan Google ML Kit untuk analisis gambar galeri perangkat.

Berbeda dengan versi Android, di iOS, malware meminta akses ke galeri foto hanya ketika tindakan tertentu dilakukan oleh pengguna, seperti membuka obrolan dukungan di dalam aplikasi yang terinfeksi. Hal ini meminimalkan kecurigaan sekaligus memungkinkan malware untuk mengambil informasi terkait dompet.

Laporan dari Kaspersky mengklaim bahwa selain frasa pemulihan, malware ini mampu mencuri data sensitif lainnya. Ini termasuk kata sandi yang tersimpan dan isi pesan yang ditangkap dalam tangkapan layar. Para ahli keamanan memperkirakan bahwa SparkCat telah membobol lebih dari 242.000 perangkat, terutama yang berbasis di Eropa dan Asia.

Namun, asal usul malware itu tidak diketahui. Berdasarkan komentar kode dan pesan kesalahan, dapat ditentukan bahwa pengembangnya berbahasa Mandarin. Serangan malware terhadap pengguna kripto terus meningkat dengan penjahat siber yang berulang kali menemukan cara untuk melewati langkah-langkah keamanan yang diberlakukan oleh pasar aplikasi.

Pada bulan September 2024, Binance menandai malware Clipper, yang mengganti alamat dompet yang disalin dengan alamat yang dikendalikan oleh penyerang. Hal ini membuat korban tanpa sadar mengirim dana ke tujuan penipuan. Seperti yang telah kita bahas , tahun lalu pada tahun 2024, investor kehilangan lebih dari US$3 miliar dalam penipuan dan peretasan kripto.