Teknogav.com - SparkCar merupakan Trojan stealer baru yang aktif di AppStore dan Google Play sekitar Maret 2024. Trojan ini merupakan contoh pertama malware berbasis pengenalan optik yang muncul di AppStore ini ditemukan pusat keahlian Kaspersky Threat Research. SparkCat memanfaatkan pembelajaran mesin untuk memindai galeri gambar dan mencuri tangkapan layar yang berisi frasa pemulihan dompet aset kripto. Data sensitif lain dalam gambar, seperti kata sandi juga dapat ditemukan dan diekstrak oleh SparkCat. Aplikasi berbahaya yang disusupi Trojan stealer baru tersebut sudah dilaporkan Kaspersky kepada Apple dan Google.

Penyebaran malware dilakukan melalui aplikasi resmi yang terinfeksi, termasuk aplikasi perpesanan, asisten AI, pengiriman makanan, aplikasi terkait kripto dan lain-lain. Aplikasi-aplikasi tersebut tersedia di platform resmi di AppStore dan Google Play, pengunduhan di Google Play mencapai lebih dari 242.000. Berdasarkan data telemetri Kaspersky, penyebaran aplikasi versi terinfeksi juga dilakukan melalui sumber tidak resmi lain. 

Baca juga: Incar Perbankan dan Aset Kripto, Ini Modus Trojan Zanubis

Sasaran Trojan SparkCat

Pengguna di Uni Emirat Arab, serta negara-negara di Asia dan Eropa merupakan sasaran utama Trojan SparkCat. Kesimpulan para pakar tersebut didasari informasi mengenai wilayah operasional aplikasi yang terinfeksi dan analisis teknis malware. Galeri gambar atau tangkapan layar berisi kata kunci dalam berbagai bahasa dipindai oleh SparkCat. Berbagai bahasa ini termasuk Ceko, Cina, Inggris, Italia, Jepang, Korea, Polandia, Portugis dan Prancis. Namun para pakar meyakini korban juga bisa dari negara lain.

Aplikasi pengiriman makanan ComeCome untuk iOS yang terinfeksi, sama seperti versi Androidnya

Aplikasi perpesanan lure yang terinfeksi di AppStore

Cara kerja SparkCat

Ketika SparkCat berhasil terinstal dalam perangkat, malware tersebut meminta akses untuk melihat foto di perangkat. Teks dalam gambar akan dianalisis malware ini menggunakan modul pengenalan karakter optik (OCR). Ketika kata kunci yang relevan berhasil dideteksi pencuri, gambar akan dikirim ke penyerang oleh malware. Frasa pemulihan dompet aset kripto merupakan sasaran utama peretas. Informasi ini memungkinkan penyerang untuk mendapatkan kendali penuh atas dompet korban dan mencuri dana. Selain itu, malware juga bisa mengekstrak informasi pribadi lain dari tangkapan layar, seperti pesan dan kata sandi.

Baca juga: Hati-hati, Malware Stealer Baru Gunakan Kedok Undangan Pernikahan

“Ini adalah kasus pertama Trojan berbasis OCR yang diketahui menyusup ke AppStore. Baik dalam hal AppStore maupun Google Play, saat ini belum jelas apakah aplikasi di toko-toko ini disusupi melalui serangan rantai pasokan atau melalui berbagai metode lainnya. Beberapa aplikasi, seperti layanan pengiriman makanan, tampak sah, sementara yang lain jelas dirancang sebagai umpan," ucap Sergey Puzan, analis malware di Kaspersky.

Sejumlah fitur unik yang membuat kampanye SparkCat berbahaya dipaparkan oleh Dmitry Kalinin, analis malware di Kaspersky. Penyebaran malware dilakukan melalui toko aplikasi resmi dan beroperasi tanpa tanda-tanda infeksi yang jelas. Sifat malware yang tersembunyi membuat Trojan ini susah dideteksi moderator toko dan pengguna seluler. Izin yang diminta malware pun cukup masuk akal, sehingga cenderung diabaikan pengguna. Pengguna memandang izin untuk mengakses galeri yang diminta malware penting agar aplikasi dapat berfungsi dengan baik. Biasanya izin ini diminta dalam konteks yang relevan seperti ketika pengguna menghubungi dukungan pelanggan.

Para pakar Kaspersky menemukan komentar dalam kode yang ditulis dalam bahasa Mandarin ketika menganalisis malware versi Android. Sedangkan, pada malware versi iOS terdapat nama direktori beranda pengembang, yaitu 'qiongwu' dan 'quiwengjing'. Ini berarti dalang pelaku serangan fasih berbahasa Mandarin. Namun, tak cukup bukti untuk mengaitkan kampanye tersebut dengan kelompok penjahat siber yang dikenal sebelumnya.

Baca juga: Waspada, Aplikasi Pelacakan Pengiriman Barang jadi Kedok Trojan Perbankan Mamont

Serangan dengan dukungan pembelajaran mesin

Jaringan neural dalam perangkat berbahaya makin diperhatikan penjahat siber. Modul Android mendekripsi dan menjalankan plugin OCR menggunakan pustaka Google ML Kit dalam kasus SparkCat ini. Upaya ini dilakukan untuk mengenali teks dalam gambar yang disimpan, metode ini juga digunakan dalam modul berbahaya di iOS. Salah satu cara menghindari serangan SparkCat pada pengguna Android dan iOS adalah dengan menggunakan solusi Kaspersky. SparkCat terdeteksi sebagai HEUR:Trojan.IphoneOS.SparkCat.* dan HEUR:Trojan.AndroidOS.SparkCat.*.

Tips Aman dari Serangan malware

Kaspersky memberikan rekomendasi langkah-langkah keamanan berikut ini agar senantiasa terhindar dari serangan malware.

• Jika sudah menginstal salah satu aplikasi yang terinfeksi, segera hapus dari perangkat. Jangan gunakan aplikasi tersebut sampai ada pembaruan untuk menghilangkan fungsi berbahaya di dalamnya
• Hindari menyimpan tangkapan layar berisi informasi sensitif di galeri, termasuk frasa pemulihan dompet aset kripto. Penyimpanan kata sandi dapat dilakukan dalam aplikasi khusus seperti Kaspersky Password Manager
• Cegah infeksi malware dengan perangkat lunak keamanan siber yang andal. Salah satu perangkat lunak yang dapat digunakan adalah Kaspersky Premium

Demikianlah beberapa tips dari Kaspersky agar senantiasa aman dari serangan malware.