Peringatan Keamanan Kripto: SparkCat Malware Memindai Foto Anda untuk Kunci Dompet - Berita Kripto Kilat

• Menggunakan Google ML Kit untuk ekstraksi teks, SparkCat mengirimkan data curian melalui saluran komunikasi terenkripsi, membuat deteksi sulit.
• Metode serangan unik SparkCat termasuk kerangka Objective-C di iOS dan SDK berbasis Java di Android.

Malware baru, SparkCat, menurut laporan 4 Februari oleh perusahaan keamanan cyber Kaspersky, telah muncul sebagai tantangan bagi pengguna kripto Android dan iOS. Malware muncul tertanam dalam aplikasi lain yang tampaknya tidak berbahaya. Selain itu, malware ini mendapatkan detail penting pengguna dari perangkat selulernya melalui pendekatan yang canggih.

SparkCat Menggunakan Pengenalan Karakter Optik untuk Pencurian

SparkCat memindai gambar yang disimpan di galeri perangkat untuk frasa pemulihan dompet kripto. Ia melakukan pemindaian melalui Optical Character Recognition, teknologi yang menangkap teks dari gambar. Pengguna yang menyimpan beberapa tangkapan layar dan catatan terkait dompet berpotensi menjadi korban kompromi data.

Malware ini mulai beroperasi pada Maret 2024, dan menginfeksi aplikasi, termasuk aplikasi pesan AI dan layanan pemesanan makanan di Google Play Store dan App Store yang dijalankan oleh Apple. Menariknya, ini adalah pertama kalinya jenis malware berbasis OCR mencuri cryptocurrency menggunakan perangkat Apple.

Di Android, virus ini menyebar melalui SDK yang disebut Spark, yang berbasis Java, menyamar sebagai modul analitik dan disisipkan ke dalam aplikasi. Ketika pengguna meluncurkan aplikasi yang terinfeksi, malware akan mengambil file konfigurasi terenkripsi dari repositori GitLab jarak jauh.

Setelah diaktifkan, SparkCat menggunakan fungsi OCR Google ML Kit untuk memindai gambar dalam galeri perangkat. Ini mencari kata kunci terkait frase pemulihan dompet kripto dalam berbagai bahasa, termasuk bahasa Inggris, Cina, Jepang, Korea, dan beberapa bahasa Eropa, dilaporkan KasperSky

Malware ini mengirimkan gambar ke server yang dikendalikan oleh penyerang untuk mengambil data yang dicuri. Metode transfer termasuk penggunaan penyimpanan awan Amazon, bersama dengan protokol berbasis Rust. Hal ini membuatnya sangat sulit dilacak karena melibatkan saluran komunikasi yang terenkripsi dan teknik transmisi data yang tidak biasa.

iOS Compromise Through Malicious Framework

Varian iOS dari SparkCat bekerja dengan cara yang berbeda dengan menyematkan dirinya dalam aplikasi yang dikompromikan sebagai kerangka kerja dengan berbagai nama seperti GZIP, googleappsdk, atau stat. Kerangka kerja jahat ini, yang ditulis dalam Objective-C, diacak menggunakan HikariLLVM dan mengintegrasikan Google ML Kit untuk analisis gambar galeri perangkat.

Tidak seperti versi Android, di iOS, malware meminta akses ke galeri foto hanya ketika tindakan tertentu dilakukan oleh pengguna, seperti membuka obrolan dukungan dalam aplikasi yang terinfeksi. Hal ini mengurangi kecurigaan sambil memungkinkan malware untuk mengambil informasi terkait dompet.

Laporan dari Kaspersky menyatakan bahwa selain frase pemulihan, malware ini mampu mencuri data sensitif lainnya. Ini termasuk kata sandi yang disimpan dan konten pesan yang ditangkap dalam tangkapan layar. Para ahli keamanan memperkirakan bahwa SparkCat telah mengompromikan lebih dari 242.000 perangkat, terutama berbasis di Eropa dan Asia.

Namun, asal usul malware ini tidak diketahui. Berdasarkan komentar kode dan pesan kesalahan, dapat ditentukan bahwa para pengembangnya berbicara dalam bahasa Cina. Serangan malware terhadap pengguna kripto terus meningkat dengan para penjahat cyber secara berulang kali menemukan cara untuk melewati langkah-langkah keamanan yang diberlakukan oleh pasar aplikasi.

Pada bulan September 2024, Binance menandai malware Clipper, yang mengganti alamat dompet yang disalin dengan yang dikendalikan oleh penyerang. Ini mengarahkan korban untuk tanpa sadar mengirim dana ke tujuan penipuan. Seperti yang kita bahas, tahun lalu pada tahun 2024, investor kehilangan lebih dari $3 miliar dalam penipuan dan peretasan kripto.