BISNISASIA.CO.ID, JAKARTA – Peneliti Kaspersky telah menemukan spy Trojan baru bernama SparkKitty yang menargetkan ponsel pintar di iOS dan Android. Trojan ini mengirimkan gambar dari ponsel yang terinfeksi dan informasi tentang perangkat tersebut kepada para penyerang.
Malware ini tertanam dalam aplikasi yang terkait dengan kripto dan perjudian, serta dalam aplikasi TikTok yang di-trojan, dan didistribusikan di App Store hingga Google Play, serta di situs web penipuan.
Para ahli berpendapat bahwa tujuan para penyerang adalah untuk mencuri aset kripto dari penduduk Asia Tenggara dan Tiongkok. Pengguna di Indonesia juga berpotensi menghadapi risiko ancaman siber serupa.
Kaspersky telah memberi tahu Google dan Apple tentang aplikasi berbahaya tersebut. Rincian teknis tertentu menunjukkan bahwa kampanye malware baru tersebut terkait dengan Trojan SparkCat yang ditemukan sebelumnya — malware (yang pertama dari jenisnya di iOS) dengan modul pengenalan karakter optik (OCR) bawaan yang memungkinkannya memindai galeri gambar dan mencuri tangkapan layar yang berisi frasa atau kata sandi pemulihan dompet kripto.
Kasus SparkKitty adalah kedua kalinya dalam setahun peneliti Kaspersky menemukan Trojan Stealer di App Store, setelah SparkCat.
iOS
Di App Store, Trojan tersebut berpura-pura menjadi aplikasi yang terkait aset kripto — 币coin. Di halaman phishing yang meniru App Store iPhone resmi, malware tersebut didistribusikan dengan kedok TikTok dan aplikasi perjudian.
- Aplikasi pertukaran kripto yang diduga, 币coin, ada di App Store
- Halaman web yang meniru AppStore untuk memasang aplikasi TikTok yang diduga melalui tools developer
Web store palsu tertanam diduga terdapat di aplikasi TikTok”Salah satu vektor penyebaran Trojan ternyata adalah situs web palsu tempat para penyerang mencoba menginfeksi iPhone korban. iOS memiliki beberapa cara yang sah untuk memasang program yang bukan dari App Store.
Dalam operasi berbahaya ini, para penyerang menggunakan salah satunya — alat pengembang khusus untuk mendistribusikan aplikasi bisnis perusahaan.
“Dalam versi TikTok yang terinfeksi, selama otorisasi, malware tersebut, selain mencuri foto dari galeri ponsel cerdas, ia juga menyematkan tautan ke toko yang mencurigakan di jendela profil orang tersebut. Toko ini hanya menerima kripto, yang meningkatkan kekhawatiran kami tentang hal itu,” jelas Sergey Puzan, pakar malware di Kaspersky.
Android
Para penyerang menargetkan pengguna di situs web pihak ketiga dan Google Play, dengan menyamarkan malware sebagai berbagai layanan kripto. Misalnya, salah satu aplikasi yang terinfeksi — aplikasi messenger bernama SOEX dengan fungsi pertukaran aset kripto — diunduh dari toko resmi lebih dari 10.000 kali.
Para ahli juga menemukan file APK dari aplikasi yang terinfeksi (yang dapat diinstal langsung pada ponsel pintar Android tanpa melewati toko resmi) di situs web pihak ketiga yang kemungkinan terkait dengan kampanye berbahaya. Aplikasi-aplikasi tersebut diposisikan sebagai proyek investasi kripto. Situs web tempat aplikasi-aplikasi ini diunggah diiklankan di jejaring sosial, termasuk YouTube.
Dmitry Kalinin, seorang ahli malware di Kaspersky sebut setelah aplikasi-aplikasi tersebut diinstal, aplikasi-aplikasi tersebut berfungsi seperti yang dijanjikan dalam deskripsinya.
Namun pada saat yang sama, foto-foto dari galeri ponsel pintar dikirimkan kepada para penyerang. Para penyerang mungkin kemudian mencoba menemukan berbagai data rahasia dalam gambar-gambar tersebut, misalnya, frasa pemulihan dompet kripto untuk mengakses aset-aset korban.
“Ada tanda-tanda tidak langsung bahwa para penyerang tertarik pada aset-aset digital orang-orang: banyak dari aplikasi yang terinfeksi terkait dengan kripto, dan aplikasi TikTok yang di-trojan juga memiliki toko bawaan yang menerima pembayaran barang hanya dalam bentuk kripto,” katanya.
