Aplikasi yang berisi malware beredar luas di HP Android dan iOS. Mereka menyusup di dalam toko aplikasi Google Play Store dan Apple App Store dan bisa menguras rekening penggunanya.
Aplikasi tersebut mengandung kit pengembangan soft berbahaya (SDK) yang dirancang untuk mencuri frasa pemulihan dompet mata uang kripto menggunakan pengenalan karakter optik (OCR).
Aksi atau kampanye ini dinamakan “SparkCat” yang diambil dari nama (“Spark”) salah satu komponen SDK berbahaya dalam aplikasi yang terinfeksi. Para pengembang kemungkinan tidak secara sadar ikut serta dalam operasi tersebut.
Menurut Kaspersky, di Google Play saja, aplikasi yang terinfeksi telah diunduh lebih dari 242.000 kali. Sementara ini adalah kasus pertama yang diketahui tentang pencuri yang ditemukan di App Store.
“Kami menemukan aplikasi Android dan iOS yang memiliki SDK/kerangka kerja berbahaya yang disematkan untuk mencuri frasa pemulihan dompet kripto, beberapa di antaranya tersedia di Google Play dan App Store,” jelas Kaspersky, dikutip dari Bleeping Computer, Jumat (7/2/2025).
SDK berbahaya pada aplikasi Android yang terinfeksi menggunakan komponen Java berbahaya yang disebut “Spark”, yang menyamar sebagai modul analitik. Komponen ini menggunakan file konfigurasi terenkripsi yang disimpan di GitLab, yang menyediakan perintah dan pembaruan operasional.
Pada platform iOS, mereka memiliki nama yang berbeda seperti “Gzip,” “googleappsdk,” atau “stat.”
Selain itu, framework ini juga menggunakan modul jaringan berbasis Rust yang disebut “im_net_sys” untuk menangani komunikasi dengan server command and control (C2).
Malware ini mencari gambar yang mengandung rahasia dengan menggunakan kata kunci tertentu dalam bahasa yang berbeda, yang berubah-ubah per wilayah seperti di Eropa, Asia, dll.
Menurut Kaspersky, ada 18 aplikasi Android dan 10 aplikasi iOS yang terinfeksi, dan banyak di antaranya masih tersedia di masing-masing toko aplikasi.
Salah satu aplikasi yang dilaporkan telah terinfeksi oleh Kaspersky adalah aplikasi Android ChatAi, yang telah diinstal lebih dari 50.000 kali. Aplikasi ini sudah tidak lagi tersedia di Google Play.