Para peneliti keamanan siber telah mengungkap kampanye malware canggih yang berhasil melewati langkah-langkah keamanan di kedua toko aplikasi mobile utama untuk menargetkan pengguna mata uang kripto. Ancaman ini menunjukkan bagaimana penyerang mengembangkan taktik mereka untuk mengeksploitasi perilaku pengguna yang umum di ruang aset digital.
Teknologi Analisis Screenshot Canggih
SparkKitty mewakili generasi baru malware mobile yang memanfaatkan teknologi optical character recognition ( OCR ) untuk secara otomatis memindai perpustakaan foto pengguna. Peneliti Kaspersky pertama kali mengidentifikasi ancaman ini pada Januari 2025, mengungkap fokus utamanya pada pengumpulan frasa pemulihan dompet mata uang kripto. Malware ini secara khusus menargetkan seed phrase yang biasa di-screenshot pengguna alih-alih menuliskannya dengan aman, mengeksploitasi praktik keamanan yang tersebar luas di kalangan penggemar kripto.
Detail Utama Malware SparkKitty:
- Tanggal Penemuan: Januari 2025 oleh Kaspersky
- Periode Distribusi Aktif: Februari 2024 - Sekarang
- Platform yang Terpengaruh: iOS dan Android
- Saluran Distribusi: Google Play Store , Apple App Store , sumber tidak resmi
- Data Target: Frasa seed dompet cryptocurrency, tangkapan layar keuangan
- Teknologi yang Digunakan: Optical Character Recognition (OCR)
Distribusi Luas Melalui Saluran Resmi
Kampanye malware ini mencapai jangkauan yang signifikan dengan mendistribusikan aplikasi yang terinfeksi melalui Google Play Store dan Apple App Store sejak Februari 2024. Salah satu contoh yang sangat sukses adalah aplikasi SOEX , yang menyamar sebagai platform pesan dengan fitur perdagangan mata uang kripto dan mengumpulkan lebih dari 10.000 unduhan sebelum terdeteksi. Aplikasi yang terinfeksi mencakup berbagai kategori termasuk aplikasi pesan, platform perdagangan kripto, klon TikTok yang dimodifikasi, aplikasi perjudian, dan game bertema dewasa, membuat deteksi lebih menantang bagi pengguna maupun sistem keamanan otomatis.
Aplikasi Terinfeksi yang Menonjol:
- SOEX App : Aplikasi pesan dengan fitur perdagangan kripto (10.000+ unduhan)
- Kategori Lainnya: Klon TikTok yang dimodifikasi, aplikasi judi, game dewasa, toko kripto palsu
- Status Saat Ini: Dihapus dari toko aplikasi resmi
Operasi Pengumpulan Data yang Canggih
Setelah terinstal, SparkKitty meminta izin untuk mengakses perpustakaan foto perangkat di platform iOS dan Android . Malware ini beroperasi dengan dua mode berbeda: versi komprehensif yang menyalin semua gambar dari galeri perangkat, dan varian yang ditargetkan yang menggunakan OCR secara khusus untuk mengidentifikasi informasi keuangan dalam screenshot. Sistem ini terus memantau perubahan pada perpustakaan gambar, secara otomatis memindai foto baru saat ditambahkan atau ketika gambar yang ada dimodifikasi.
Implikasi Keamanan di Luar Mata Uang Kripto
Meskipun fokus utama tetap pada seed phrase dompet mata uang kripto, para ahli keamanan memperingatkan bahwa kemampuan malware ini meluas ke informasi sensitif apa pun yang disimpan dalam screenshot. Ini termasuk dokumen identifikasi, kata sandi, kode cadangan autentikasi dua faktor, dan data rahasia lainnya yang biasa ditangkap dan disimpan pengguna di perangkat mereka. Potensi pemerasan menggunakan gambar pribadi yang dikompromikan merupakan vektor ancaman tambahan, meskipun peneliti belum mendokumentasikan aktivitas tersebut.
Rekomendasi Perlindungan:
- Tinjau dan cabut izin aplikasi yang tidak perlu untuk akses foto/kamera
- Hindari menyimpan informasi sensitif dalam tangkapan layar
- Gunakan pengelola kata sandi terenkripsi untuk frasa seed
- Verifikasi pengembang aplikasi dan baca ulasan sebelum mengunduh
- Pantau aplikasi yang meminta izin berlebihan atau akses profil konfigurasi
Strategi Perlindungan dan Praktik Terbaik
Para profesional keamanan merekomendasikan beberapa langkah defensif untuk melindungi dari SparkKitty dan ancaman serupa. Pengguna harus secara teratur mengaudit izin aplikasi, menghapus akses ke foto, kamera, dan penyimpanan untuk aplikasi yang tidak memerlukan fungsi-fungsi ini. Menginstal aplikasi secara eksklusif dari toko aplikasi resmi memberikan perlindungan tertentu, meskipun insiden ini menunjukkan bahwa perangkat lunak berbahaya masih dapat menembus platform-platform ini. Yang paling penting, pengguna harus menghindari menyimpan informasi sensitif dalam screenshot, sebagai gantinya memanfaatkan pengelola kata sandi terenkripsi atau solusi penyimpanan cloud yang aman untuk frasa pemulihan penting dan data rahasia.