Jakarta – Peneliti Kaspersky menemukan malware mata-mata baru bernama SparkKitty yang mengincar pengguna ponsel pintar iOS dan Android. Trojan ini mencuri foto dan informasi penting dari perangkat yang terinfeksi.
SparkKitty bersembunyi di balik aplikasi palsu terkait kripto,perjudian,dan bahkan TikTok.
Kaspersky melaporkan, aplikasi berbahaya ini didistribusikan melalui App Store, Google Play, dan situs web penipuan.
Pakar Kaspersky menduga target utama serangan ini adalah mencuri aset kripto dari warga Asia Tenggara dan China.
Kaspersky telah memberitahu Google dan Apple terkait temuan aplikasi berbahaya ini.
Secara teknis, kampanye malware ini terkait dengan Trojan SparkCat yang sebelumnya ditemukan.
SparkCat adalah malware pertama di iOS yang memiliki modul OCR untuk memindai galeri gambar dan mencuri tangkapan layar berisi frasa atau kata sandi pemulihan dompet kripto.
Di app Store, Trojan ini menyamar sebagai aplikasi terkait aset kripto bernama 币coin.Malware ini juga didistribusikan melalui halaman phishing yang meniru App Store resmi,dengan kedok aplikasi TikTok dan perjudian.
Salah satu cara penyebaran Trojan adalah melalui situs web palsu yang mencoba menginfeksi iPhone korban.
“iOS memiliki cara sah untuk memasang program di luar App Store. Dalam operasi ini,penyerang menggunakan alat pengembang khusus untuk mendistribusikan aplikasi bisnis perusahaan,” kata pakar malware Kaspersky,Sergey Puzan.
Pada versi TikTok yang terinfeksi, malware mencuri foto dari galeri ponsel dan menyematkan tautan ke toko mencurigakan di profil pengguna.
Toko ini hanya menerima pembayaran dalam bentuk kripto, yang semakin meningkatkan kecurigaan.
Pengguna Android menjadi sasaran melalui situs web pihak ketiga dan Google Play, dengan malware menyamar sebagai berbagai layanan kripto.
Salah satu aplikasi yang terinfeksi adalah aplikasi messenger bernama SOEX dengan fungsi pertukaran aset kripto.
Aplikasi ini telah diunduh lebih dari 10.000 kali dari toko resmi.
Para ahli juga menemukan file APK dari aplikasi yang terinfeksi di situs web pihak ketiga yang diduga terkait dengan kampanye berbahaya ini.
Aplikasi-aplikasi tersebut dipromosikan sebagai proyek investasi kripto dan diiklankan di media sosial,termasuk YouTube.
Pakar malware Kaspersky, Dmitry Kalinin, menjelaskan bahwa setelah diinstal, aplikasi berfungsi seperti yang dijanjikan.
“Namun, secara bersamaan, foto-foto dari galeri ponsel dikirimkan kepada penyerang.Mereka mungkin mencoba menemukan data rahasia dalam gambar, seperti frasa pemulihan dompet kripto untuk mengakses aset korban,” kata Kalinin.
Kalinin menambahkan,banyak aplikasi yang terinfeksi terkait dengan kripto,dan aplikasi TikTok yang di-Trojan juga memiliki toko bawaan yang hanya menerima pembayaran kripto,yang mengindikasikan minat penyerang pada aset digital.
