Ancaman siber terhadap pengguna ponsel pintar kembali meningkat. Kaspersky Threat Research mengungkap kemunculan varian baru Trojan SparkCat di App Store dan Google Play, hanya setahun setelah malware pencuri aset kripto tersebut pertama kali ditemukan dan dihapus dari kedua platform resmi itu.
Trojan ini bersembunyi di dalam aplikasi yang tampak sah, seperti aplikasi pesan untuk komunikasi perusahaan dan aplikasi layanan pengiriman makanan. Malware tersebut bekerja dengan memindai galeri foto pengguna untuk mencari tangkapan layar yang memuat frasa pemulihan dompet aset kripto.
Kaspersky menemukan dua aplikasi yang terinfeksi di App Store dan satu aplikasi di Google Play. Meski kode berbahaya pada aplikasi tersebut telah dihapus, telemetri perusahaan menunjukkan bahwa aplikasi yang terinfeksi SparkCat juga masih beredar melalui sumber pihak ketiga. Beberapa situs bahkan disebut meniru tampilan App Store ketika diakses dari perangkat iPhone.
Ancaman ini dinilai memiliki fokus yang kuat pada pengguna di Asia. Untuk perangkat Android, varian terbaru SparkCat memindai galeri gambar untuk mencari tangkapan layar yang memuat kata kunci tertentu dalam bahasa Jepang, Korea, dan Cina. Temuan ini membuat para peneliti menilai kampanye tersebut terutama menargetkan pemilik aset kripto di kawasan Asia.
Sementara itu, varian untuk iOS memiliki cakupan ancaman yang lebih luas. Alih-alih mencari kata kunci dalam bahasa tertentu, malware ini memindai frasa mnemonik dompet aset kripto berbahasa Inggris, sehingga berpotensi menyerang pengguna di berbagai wilayah.
Kaspersky juga mencatat peningkatan kecanggihan teknik yang digunakan dalam versi terbaru malware ini. Pada perangkat Android, SparkCat kini dilengkapi beberapa lapisan pengaburan, termasuk virtualisasi kode dan penggunaan bahasa pemrograman lintas platform, teknik yang disebut masih jarang ditemukan pada malware seluler.
“Varian SparkCat yang diperbarui meminta akses untuk melihat foto di galeri ponsel pintar pengguna dalam skenario tertentu — sama seperti versi Trojan pertama. Ia menganalisis teks dalam gambar yang tersimpan menggunakan modul pengenalan karakter optik. Jika penyerang menemukan kata kunci yang relevan, ia mengirimkan gambar tersebut ke penyerang. Mengingat kesamaan antara sampel saat ini dan yang sebelumnya, kami percaya bahwa pengembang versi malware baru ini adalah orang yang sama. Kampanye ini sekali lagi menggarisbawahi pentingnya menggunakan solusi keamanan untuk ponsel pintar agar tetap terlindungi dari berbagai ancaman siber,” kata Sergey Puzan, pakar keamanan siber di Kaspersky.
Senada dengan itu, Dmitry Kalinin pakar keamanan siber di Kaspersky menilai SparkCat menunjukkan tingkat keahlian tinggi dari para pelaku ancaman.
“Malware SparkCat adalah ancaman seluler yang terus berkembang. Pelaku ancaman di baliknya terus meningkatkan kompleksitas teknik anti-analisis yang memungkinkannya untuk melewati proses peninjauan toko aplikasi resmi. Selain itu, metode yang digunakan oleh pengembang SparkCat, seperti virtualisasi kode dan penggunaan bahasa pemrograman lintas platform, jarang ditemukan pada malware seluler. Ini menunjukkan keahlian tinggi dari para pelaku ancaman,” ujarnya.
Kaspersky menyatakan telah melaporkan aplikasi berbahaya yang teridentifikasi kepada Google dan Apple. Ancaman ini dideteksi melalui produknya dengan identifikasi HEUR:Trojan.AndroidOS.SparkCat.* dan HEUR:Trojan.IphoneOS.SparkCat.*.
Sebagai langkah mitigasi, Kaspersky mengimbau pengguna untuk menggunakan perangkat lunak keamanan siber yang andal, menghindari penyimpanan tangkapan layar berisi data sensitif seperti frasa sandi dompet kripto di galeri ponsel, serta tetap waspada meski mengunduh aplikasi dari toko resmi.
Temuan terbaru ini kembali menjadi pengingat bahwa toko aplikasi resmi tidak selalu sepenuhnya bebas risiko, terutama ketika pelaku ancaman terus mengembangkan teknik untuk menyusup dan menghindari proses verifikasi platform.
