Kaspersky Labs telah mengidentifikasi kampanye malware canggih yang menargetkan pengguna cryptocurrency melalui perangkat lunak kit pengembangan yang disematkan dalam aplikasi seluler yang tersedia di Google Play dan Apple App Store. Dinamakan "SparkCat," malware ini menggunakan pengenalan karakter optik untuk memindai foto pengguna guna menemukan frasa pemulihan dompet cryptocurrency, yang kemudian digunakan peretas untuk mengakses dan menguras dompet yang terpengaruh.

Dalam sebuah laporan komprehensif bertanggal 4 Februari 2025, peneliti Kaspersky Sergey Puzan dan Dmitry Kalinin menjelaskan bagaimana malware SparkCat menyusup ke perangkat dan mencari gambar untuk frasa pemulihan melalui deteksi kata kunci multibahasa. Setelah frasa ini didapatkan, penyerang memperoleh akses tanpa batas ke dompet crypto korban. Dengan demikian, para peretas mencapai kontrol penuh atas dana, seperti yang disoroti oleh para peneliti.

Selain itu, malware ini dirancang untuk mencuri informasi sensitif tambahan, seperti kata sandi dan pesan pribadi yang diperoleh dari tangkapan layar. Khususnya pada perangkat Android, SparkCat berperan sebagai modul analitik berbasis Java yang disebut Spark. Malware ini menerima pembaruan operasional dari file konfigurasi terenkripsi di GitLab dan menggunakan OCR Kit ML dari Google untuk mengekstrak teks dari gambar pada perangkat yang terinfeksi. Deteksi frasa pemulihan menyebabkan malware mengirimkan informasi kembali kepada penyerang, memungkinkan mereka mengimpor dompet crypto korban ke perangkat mereka.

Kaspersky memperkirakan bahwa sejak kemunculannya pada Maret 2023, SparkCat telah diunduh sekitar 242.000 kali, terutama berdampak pada pengguna di Eropa dan Asia.

Dalam laporan terpisah tetapi terkait dari pertengahan 2024, Kaspersky telah memantau kampanye malware Android lain yang melibatkan APK menipu seperti Tria Stealer, yang mencegat pesan SMS dan log panggilan, serta mencuri data Gmail.

Kehadiran malware ini mencakup banyak aplikasi, beberapa tampak sah seperti layanan pengiriman makanan, dan lainnya dirancang untuk menarik pengguna yang tidak waspada, seperti aplikasi pesan yang dilengkapi AI. Fitur umum di antara aplikasi yang terinfeksi mencakup penggunaan bahasa pemrograman Rust, kemampuan lintas platform, dan metode penyembunyian yang canggih untuk menghindari deteksi.

Asal-usul SparkCat tetap tidak jelas. Para peneliti tidak mengasosiasikan malware tersebut dengan kelompok peretas yang dikenal tetapi mencatat komentar dan pesan kesalahan dalam bahasa Cina dalam kode, yang menunjukkan kefasihan dalam bahasa Cina oleh pengembang. Meskipun berbagi kesamaan dengan kampanye yang diungkapkan oleh ESET pada Maret 2023, sumber pastinya tetap tidak teridentifikasi.

Kaspersky sangat menyarankan pengguna agar tidak menyimpan informasi sensitif seperti frasa pemulihan dompet crypto di galeri foto mereka. Sebaliknya, mereka merekomendasikan penggunaan manajer kata sandi dan secara teratur memindai dan menghilangkan aplikasi mencurigakan.

Temuan ini awalnya dilaporkan di 99Bitcoins dalam artikel berjudul "Malicious SDKs on Google Play and App Store Steal Crypto Seed Phrases: Kaspersky."