Malware yang menargetkan perangkat Android dan iOS kini menjadi ancaman besar bagi pengguna kripto. Para peretas terus menciptakan metode baru untuk mencuri data kripto melalui aplikasi yang terinfeksi.
Penelitian ESET pada Maret 2023 mengungkapkan adanya implantasi berbahaya dalam aplikasi pengirim pesan, yang dirancang untuk mencari gambar dengan frasa pemulihan untuk mengakses dompet kripto.
Munculnya malware baru bernama SparkCat semakin meningkatkan risiko bagi pengguna kripto. Dengan teknik yang lebih canggih, malware ini mengeksploitasi celah keamanan untuk mencuri data sensitif.
Metode Penyebaran Malware SparkCat
Dilansir dari laporan Securelist oleh Kaspersky yang dipublikasikan pada 4 Februari 2025, SparkCat menyasar pengguna Android dan iOS, bahkan melalui toko aplikasi resmi seperti Google Play dan App Store.
Malware ini disembunyikan dalam aplikasi yang tampaknya sah, namun memiliki framework atau SDK berbahaya yang biasanya digunakan untuk mencuri recovery seed phrase dompet kripto.
Menurut penelitian tersebut, malware SparkCat telah diunduh lebih dari ratusan ribu kali dan menjadi aplikasi pertama yang terinfeksi oleh virus yang berhasil masuk ke App Store.
“Aplikasi yang terinfeksi ini telah diunduh lebih dari 242.000 kali dari Google Play. Ini adalah kasus pertama yang diketahui dari pencuri yang ditemukan di App Store,” jelas laporan tersebut.
Malware pada perangkat Android menggunakan Google ML Kit untuk mengaktifkan plugin OCR yang dapat mengenali teks dalam gambar yang ada di galeri perangkat korban.
Begitu gambar yang relevan ditemukan, seperti frasa pemulihan, data tersebut akan dikirimkan secara langsung ke server komando (C2) yang dikendalikan oleh para pelaku peretasan.
Sementara itu, virus pada perangkat iOS memiliki desain yang serupa, namun menggunakan protokol yang lebih sulit dideteksi yang dikembangkan dengan bahasa pemrograman Rust.
Aplikasi Terinfeksi Malware
Salah satu aplikasi yang pertama kali ditemukan terinfeksi oleh malware adalah ComeCome, sebuah aplikasi pengantar makanan yang digunakan di UAE dan Indonesia secara luas.
Aplikasi ini telah diunduh lebih dari 10.000 kali di Google Play dan ternyata setelah dianalisis lebih lanjut berisi SDK berbahaya yang mampu menyusupkan SparkCat ke perangkat korbannya.
Dalam versi 2.0.0, metode tertentu diubah dalam Application class yang menjadi salah satu titik masuk aplikasi. Metode ini menginisialisasi komponen SDK yang mencurigakan dan disamarkan.
“Metode onCreate diubah dalam Application class yang merupakan salah satu titik masuk aplikasi. Metode ini menginisialisasi komponen SDK yang disebut Spark. Pada versi aslinya, metode ini telah disamarkan (obfuscated),” seperti yang tercantum pada laporan tersebut.
Ketika aplikasi dijalankan, SDK ini mengunduh file konfigurasi terenkripsi dari server GitLab yang jauh dan memulai proses untuk mengenali teks dalam gambar yang ada di galeri perangkat.
SparkCat mencari recovery seed phrase dalam gambar untuk mengakses wallet kripto. Data yang dienkripsi lalu dikirim ke server melalui TCP socket yang ditulis dalam Rust.
“JSON ini dikirim ke server menggunakan pustaka libmodsvmp.so melalui protokol yang tidak teridentifikasi melalui TCP socket. Pustaka ini ditulis dalam bahasa pemrograman Rust dan menyamarkan dirinya sebagai obfuscator Android yang populer,” sebagaimana tercantum pada riset tersebut.
Jika pengguna memberikan izin untuk mengakses galeri, malware akan menjalankan fungsionalitas utamanya untuk mencari gambar dengan frasa pemulihan yang berkaitan dengan dompet kripto.
Proses ini dilakukan secara diam-diam tanpa diketahui oleh pengguna, menjadikan virus ini sangat berbahaya dan sulit terdeteksi.
Bagaimana Malware Mencuri Frasa Pemulihan Kripto?
Setelah aplikasi berhasil meminta izin untuk mengakses galeri gambar pengguna, malware mulai menjalankan fungsinya dengan meminta gambar yang mengandung kata kunci terkait dengan pemulihan dompet cryptocurrency.
Daftar kata kunci ini mencakup istilah dalam berbagai bahasa, termasuk bahasa Mandarin, Jepang, Korea, dan Inggris, yang semuanya berkaitan dengan frasa pemulihan, yang dikenal dengan istilah “mnemonic“.
Setelah berhasil mendeteksi gambar yang sesuai, SparkCat akan mengirimkan datanya ke server C2 yang terkontrol oleh hacker.
Menurut analisis lebih lanjut, terdapat tiga cara yang digunakan malware untuk memproses hasil OCR dari gambar yang ditemukan: berdasarkan kata kunci, jumlah kata dalam gambar, dan kamus lokal yang terenkripsi.
Ini membuat malware dapat menyaring gambar yang sesuai dengan kriteria yang telah ditentukan dan kemudian mengirimkan gambar tersebut ke server yang berfungsi untuk mengekstrak frasa pemulihan dari crypto wallet.
Ancaman dari Aplikasi yang Terinfeksi
Tak hanya aplikasi pengantar makanan seperti ComeCome, laporan tersebut juga mengungkapkan aplikasi lain yang tidak terkait namun juga terinfeksi virus ini. Beberapa aplikasi ini masih tersedia di toko aplikasi dan dapat diunduh oleh pengguna yang tidak waspada.
Meskipun sebagian besar aplikasi yang terinfeksi berasal dari sumber tidak resmi, beberapa aplikasi yang terinfeksi juga ditemukan di App Store, menunjukkan bahwa bahkan platform resmi seperti Apple tidak sepenuhnya aman.
Setelah penyelidikan, mereka mengonfirmasi bahwa framework berbahaya ini telah menyusup ke beberapa aplikasi di App Store, beberapa di antaranya adalah aplikasi palsu yang dirancang untuk memikat korban.
Tentu saja, pengguna yang mengunduh aplikasi palsu berisiko besar, karena malware dengan framework berbahaya ini dapat mencuri data pribadi dan informasi sensitif seperti frasa pemulihan kripto.
Ancaman malware SparkCat memberikan pelajaran penting bagi pengguna kripto untuk selalu berhati-hati saat mengunduh aplikasi, baik dari sumber resmi maupun tidak resmi.
Sangat disarankan untuk selalu memeriksa izin yang diminta oleh aplikasi dan waspada terhadap aplikasi yang meminta akses yang tidak relevan atau mencurigakan. [dp]