Trojan canggih melewati keamanan Apple dan Google untuk mengumpulkan frasa seed kripto dari foto perangkat mobile, menandai peningkatan signifikan dalam serangan yang menargetkan kripto.
Peneliti keamanan siber di Kaspersky telah mengungkapkan kampanye malware mobile baru yang canggih bernama "SparkKitty" yang berhasil menyusup ke App Store Apple dan Google Play Store, membahayakan lebih dari 5.000 pengguna kripto di China dan Asia Tenggara.
Malware ini berfokus pada mencuri tangkapan layar dari frasa seed dompet yang disimpan di galeri ponsel, merupakan perkembangan signifikan dalam serangan yang menargetkan kripto yang mengeksploitasi kerentanan keamanan mobile yang mendasar.
Malware ini aktif setidaknya sejak awal 2024, menurut laporan keamanan terbaru Kaspersky yang dirilis minggu ini. Berbeda dengan metode distribusi malware tradisional, SparkKitty berhasil mencapai kesuksesan luar biasa dengan menyematkan dirinya dalam aplikasi yang tampak sah di kedua platform mobile utama, termasuk alat pelacak harga kripto, aplikasi perjudian, dan versi modifikasi dari aplikasi media sosial populer seperti TikTok.
Aspek paling mengkhawatirkan dari kampanye ini adalah keberhasilannya dalam menghindari proses peninjauan ketat App Store Apple dan sistem keamanan Google Play Protect. Salah satu aplikasi pesan yang dikompromikan, SOEX, mencapai lebih dari 10.000 unduhan sebelum terdeteksi dan dicopot, menunjukkan kemampuan malware ini untuk beroperasi tanpa terdeteksi dalam ekosistem aplikasi resmi untuk periode waktu yang lama.
Metodologi Pengumpulan Data Lanjutan
SparkKitty mewakili kemajuan teknis yang signifikan dibandingkan pendahulunya, SparkCat, yang pertama kali diidentifikasi pada Januari 2025. Berbeda dengan malware tradisional yang secara selektif menargetkan data sensitif, SparkKitty mencuri semua gambar dari perangkat yang terinfeksi, membuat basis data lengkap dari foto pengguna yang kemudian diunggah ke server jarak jauh untuk analisis.
Malware ini beroperasi melalui proses multi-tahap yang canggih. Setelah diinstal melalui profil provisioning yang menipu, SparkKitty meminta izin akses galeri foto standar - permintaan yang tampak rutin bagi sebagian besar pengguna. Setelah akses diberikan, trojan terus memantau perpustakaan foto perangkat untuk perubahan, membuat basis data lokal dari gambar yang diambil sebelum mengirimkannya ke server yang dikendalikan penyerang.
Peneliti Kaspersky menekankan bahwa tujuan utama penyerang tampaknya adalah mengidentifikasi dan mengekstrak frasa seed dompet kripto dari tangkapan layar yang disimpan pada perangkat yang terinfeksi. Frasa pemulihan 12-24 kata ini memberikan akses penuh ke kepemilikan aset digital pengguna, menjadikannya target yang sangat berharga bagi penjahat siber.
Kemunculan SparkKitty terjadi di tengah meningkatnya kejahatan siber yang berfokus pada kripto. Menurut analisis 2024 oleh TRM Labs, hampir 70% dari $2,2 miliar kriptocurrency yang dicuri berasal dari serangan infrastruktur, terutama yang melibatkan pencurian kunci pribadi dan frasa seed. Pada Januari 2025 saja, 9.220 korban kehilangan $10,25 juta karena penipuan phishing kripto, menyoroti sifat ancaman yang terus-menerus dan berkembang.
Fokus geografis malware saat ini pada China dan Asia Tenggara mencerminkan tren yang lebih luas dalam adopsi kriptocurrency dan penargetan penjahat siber. Namun, para ahli keamanan memperingatkan bahwa kemampuan teknis SparkKitty dan efektivitas yang telah terbukti membuat ekspansi global sangat mungkin terjadi. Kemampuan malware untuk menyusup ke toko aplikasi resmi menunjukkan bahwa tidak ada ekosistem mobile yang kebal terhadap serangan yang menargetkan kripto canggih.