Jakarta – Pengguna Android dan iPhone harus waspada terhadap aplikasi yang dirancang untuk membobol rekening.
Aplikasi yang tersedia di Google Play Store dan App Store tersebut mengandung software development kit (SDK) yang dirancang untuk mencuri kode pemulihan dompet kripto menggunakan pencuri pengenalan karakter optik (OCR).
Kampanye serangan siber ini dinamakan “SparkCat” sesuai dengan nama (“Spark”) salah satu komponen SDK berbahaya dalam aplikasi yang terinfeksi, dan para pengembang kemungkinan besar tidak secara sadar ikut serta dalam operasi ini.
Menurut Kaspersky, di Google Play saja aplikasi yang terinfeksi telah diunduh lebih dari 242.000 kali.
“Kami menemukan aplikasi Android dan iOS yang memiliki SDK/kerangka kerja berbahaya yang disematkan untuk mencuri frasa pemulihan dompet kripto, beberapa di antaranya tersedia di Google Play dan App Store,” jelas Kaspersky, dikutip dari Bleeping Computer.
“Aplikasi yang terinfeksi telah diunduh lebih dari 242.000 kali dari Google Play. Ini adalah kasus pertama yang diketahui sebagai pencuri yang ditemukan di App Store,” tambahnya.
SDK berbahaya pada aplikasi Android yang terinfeksi menggunakan komponen Java berbahaya yang disebut “Spark”, yang menyamar sebagai modul analitik. Komponen ini menggunakan file konfigurasi terenkripsi yang disimpan di GitLab, yang menyediakan perintah dan pembaruan operasional.
Pada platform iOS, kerangka kerja ini memiliki nama yang berbeda seperti “Gzip,” “googleappsdk,” atau “stat.” Selain itu, framework ini juga menggunakan modul jaringan berbasis Rust yang disebut “im_net_sys” untuk menangani komunikasi dengan server command and control (C2).
Modul ini menggunakan Google ML Kit OCR untuk mengekstrak teks dari gambar pada perangkat, mencoba menemukan frasa pemulihan yang dapat digunakan untuk memuat dompet mata uang kripto di perangkat penyerang tanpa mengetahui kata sandinya.
“Ini [komponen berbahaya] memuat model OCR yang berbeda tergantung pada bahasa sistem untuk membedakan karakter Latin, Korea, Cina, dan Jepang pada gambar,” kata Kaspersky.
“Kemudian, SDK mengunggah informasi tentang perangkat ke server perintah di sepanjang jalur / api / e / d / u, dan sebagai tanggapannya, menerima objek yang mengatur operasi malware selanjutnya,” lanjutnya.
Malware ini kemudian mencari gambar yang mengandung rahasia dengan menggunakan kata kunci tertentu dalam bahasa yang berbeda, yang berubah-ubah per wilayah (Eropa, Asia, dll.).
Kaspersky mengatakan bahwa meskipun beberapa aplikasi menunjukkan penargetan wilayah tertentu, kita juga perlu waspada terhadap kemungkinan aplikasi tersebut bekerja di luar wilayah geografis yang ditentukan.
Menurut Kaspersky, ada 18 aplikasi Android dan 10 aplikasi iOS yang terinfeksi, dan masih banyak yang tersedia di toko aplikasi masing-masing.
Salah satu aplikasi yang dilaporkan terinfeksi oleh Kaspersky adalah aplikasi Android ChatAi, yang telah diinstal lebih dari 50.000 kali. Aplikasi ini sudah tidak lagi tersedia di Google Play. (CNN)
