Keamanan Digital, Aplikasi, Smartphone, Gadget
Trojan Baru Sembunyi di AppStore dan Google Play
Jakarta, VIVA – Pusat keahlian Kaspersky Threat Research telah menemukan Trojan stealer baru, SparkCat, yang aktif di AppStore dan Google Play sejak Maret 2024.
Ini adalah contoh pertama malware berbasis pengenalan optik yang muncul di AppStore. SparkCat menggunakan pembelajaran mesin (machine learning/ML) untuk memindai galeri gambar dan mencuri tangkapan layar yang berisi frasa pemulihan dompet aset kripto.
SparkCat juga dapat menemukan dan mengekstrak data sensitif lainnya dalam gambar, seperti kata sandi.
Kaspersky telah melaporkan aplikasi berbahaya yang diketahui kepada Google dan Apple.
Bagaimana bisa menyebar
Malware ini menyebar melalui aplikasi resmi yang terinfeksi dan umpan – messenger, asisten AI, pengiriman makanan, aplikasi terkait kripto, dan banyak lagi. Beberapa aplikasi ini tersedia di platform resmi di Google Play dan AppStore.
Data telemetri Kaspersky juga menunjukkan bahwa versi yang terinfeksi didistribusikan melalui sumber tidak resmi lainnya. Di Google Play, aplikasi ini telah diunduh lebih dari 242 ribu kali.
Siapa targetnya
Malware ini terutama menargetkan pengguna di UEA dan negara-negara di Eropa dan Asia. Inilah yang disimpulkan para ahli berdasarkan informasi tentang area operasional aplikasi yang terinfeksi dan analisis teknis malware.
SparkCat memindai galeri gambar untuk kata kunci dalam berbagai bahasa, termasuk China, Jepang, Korea, Inggris, Ceko, Prancis, Italia, Polandia, dan Portugal. Namun, para ahli yakin korban juga bisa berasal dari negara lain.
Cara kerja SparkCat
Setelah terinstal, dalam skenario tertentu malware baru tersebut meminta akses untuk melihat foto di galeri ponsel pintar atau smartphone pengguna.
Kemudian, malware tersebut menganalisis teks dalam gambar yang tersimpan menggunakan modul pengenalan karakter optik (OCR).
Jika pencuri mendeteksi kata kunci yang relevan, malware tersebut mengirimkan gambar tersebut ke penyerang. Sasaran utama peretas adalah menemukan frasa pemulihan untuk dompet aset kripto.
Dengan informasi ini, mereka dapat memperoleh kendali penuh atas dompet korban dan mencuri dana.
Selain mencuri frasa pemulihan, malware tersebut mampu mengekstrak informasi pribadi lainnya dari tangkapan layar, seperti pesan dan kata sandi.
“Ini adalah kasus pertama Trojan berbasis OCR yang diketahui menyusup ke AppStore,” kata Sergey Puzan, analis malware di Kaspersky. “Baik dalam hal AppStore maupun Google Play, saat ini belum jelas apakah aplikasi di toko-toko ini disusupi melalui serangan rantai pasokan atau melalui berbagai metode lainnya. Beberapa aplikasi, seperti layanan pengiriman makanan, tampak sah, sementara yang lain jelas dirancang sebagai umpan.”
“Kampanye SparkCat memiliki beberapa fitur unik yang membuatnya berbahaya. Pertama-tama, malware ini menyebar melalui toko aplikasi resmi dan beroperasi tanpa tanda-tanda infeksi yang jelas. Sifatnya yang tersembunyi membuat Trojan ini sulit dideteksi oleh moderator toko dan pengguna seluler. Selain itu, izin yang dimintanya tampak masuk akal, sehingga mudah diabaikan. Akses ke galeri yang coba dijangkau malware mungkin tampak penting agar aplikasi berfungsi dengan baik, seperti yang terlihat dari sudut pandang pengguna. Izin ini biasanya diminta dalam konteks yang relevan, seperti saat pengguna menghubungi dukungan pelanggan,” imbuh Dmitry Kalinin, analis malware di Kaspersky.
Saat menganalisis versi Android dari malware tersebut, para ahli Kaspersky menemukan komentar dalam kode yang ditulis dalam bahasa Mandarin.
Selain itu, versi iOS berisi nama direktori beranda pengembang, “qiongwu” dan “quiwengjing”, yang menunjukkan bahwa pelaku ancaman di balik kampanye tersebut fasih berbahasa Mandarin.
Namun, tidak ada cukup bukti untuk mengaitkan kampanye tersebut dengan kelompok penjahat dunia maya yang dikenal sebelumnya.
Komentar
Posting Komentar