Setahun setelah diberantas, varian baru malware pencuri kripto "SparkCat" kembali ditemukan oleh Kaspersky. Trojan ini sukses menyusup kembali ke App Store dan Google Play dengan menyamar sebagai aplikasi sah, seperti aplikasi perpesanan perusahaan dan layanan pesan antar makanan.
Kenapa ini penting?
Malware ini berevolusi menjadi lebih canggih dan membidik satu kebiasaan buruk yang sangat fatal namun sering dilakukan banyak orang: menyimpan tangkapan layar (screenshot) berisi frasa pemulihan (seed phrase atau mnemonic) dompet kripto di galeri ponsel.
Apa saja detailnya?
Cara Kerja Pengekstrakan Data
Setelah diinstal, aplikasi berbahaya ini akan meminta izin akses ke galeri foto. Ia kemudian menggunakan teknologi Pengenalan Karakter Optik (OCR) untuk memindai teks di dalam gambar secara diam-diam. Jika menemukan kata kunci dompet kripto, foto tersebut langsung dikirim ke server peretas.
Target Pemindaian yang Berbeda
- Android: Varian ini secara khusus memindai kata kunci dalam bahasa Jepang, Korea, dan Mandarin, mengindikasikan target utamanya adalah pengguna kripto di kawasan Asia.
- iOS: Varian ini lebih berbahaya secara global karena memindai frasa pemulihan (mnemonic) dalam bahasa Inggris, sehingga berpotensi menyerang pengguna di negara mana pun.
Teknik Pengelabuan Tingkat Tinggi
Para peretas menggunakan taktik mutakhir seperti virtualisasi kode dan bahasa pemrograman lintas platform. Ini adalah teknik rumit yang sangat jarang ditemui pada malware seluler, yang menjelaskan bagaimana mereka bisa kembali mengelabui proses peninjauan keamanan ketat milik Apple dan Google.
Pax insight
Meskipun Kaspersky telah melaporkan aplikasi tersebut untuk dihapus dari toko resmi, namun aplikasi ini masih beredar di web pihak ketiga. Insiden ini menjadi peringatan keras, jangan pernah menyimpan foto dokumen sensitif atau kata sandi dompet kripto Anda di galeri ponsel. Gunakan aplikasi brankas digital khusus (password manager) untuk menyimpannya dengan aman.
