Para ahli menemukan perangkat lunak mata-mata menyamar sebagai aplikasi pesan untuk mencuri frase pengingat dompet enkripsi.

Pakar keamanan Kaspersky menemukan perangkat lunak mata-mata tersembunyi di App Store Apple, di mana aplikasi pemesanan makanan iOS bernama ComeCome mengandung perangkat lunak mata-mata jahat. Aplikasi pemesanan ini juga dapat diunduh dari Google Play dengan tujuan mencuri frase seed pengguna dompet Aset Kripto.

Para ahli analisis dari Kaspersky, Dmitry Kalinin dan Sergey Puzan, mengatakan bahwa aplikasi ini juga akan menyerahkan kunci Mata Uang Kripto korban kepada kelompok penipuan. Menurut para peneliti Kaspersky, aplikasi pemesanan ini telah disisipi dengan bingkai SDK jahat yang dapat membuka kunci karakter optik OCR( pada waktu yang tidak ditentukan. Setelah kode OCR mulai berjalan, aplikasi akan mencari tangkapan layar di perangkat seluler dan memindai frasa seed dompet Mata Uang Kripto. Setelah perangkat lunak mata-mata mencuri frasa seed, Mata Uang Kripto dalam dompet pengguna akan dicuri.

Para ahli juga mengatakan bahwa karena frasa mnemonik dicuri oleh kelompok kejahatan, kelompok kejahatan di belakang aplikasi dapat mengontrol dompet Mata Uang Kripto korban dan mentransfer dana. Itulah mengapa frasa mnemonik sebaiknya disimpan dengan aman dan diakses secara offline, bukan hanya dengan mencatat tangkapan layar di ponsel.

Apple telah menarik aplikasi pengiriman makanan Come Come, tetapi yang menakutkan adalah baik Google Play maupun App Store Apple tidak menyadari adanya perangkat lunak berbahaya di dalam aplikasi. Saat ini, masih ada beberapa aplikasi di toko aplikasi yang mirip dengan Come Come dan tampaknya normal, aplikasi-aplikasi ini dapat lolos dari proses peninjauan sebelum diunggah dan bahkan melewati peninjauan toko Apple yang dipercaya oleh pengguna. Aplikasi-aplikasi ini yang tampak seperti aplikasi biasa sebenarnya berisi perangkat lunak berbahaya SparkCat yang mencuri informasi sensitif seperti kata sandi akun dan frasa seed enkripsi.

Malware SparkCat khusus mencuri kata sandi dan frasa seed

Para ahli menamai perangkat lunak berbahaya yang mencuri frasa mnemonik sebagai SparkCat, dan menunjukkan bahwa itu cukup fleksibel, tidak hanya dapat mencuri frasa mnemonik, tetapi juga dapat mencuri data sensitif lainnya dari galeri ponsel, seperti pesan atau kata sandi dalam tangkapan layar ponsel.

Tim Kaspersky mengatakan bahwa kelompok kejahatan tampaknya menargetkan pengguna Android dan iOS di Eropa dan Asia. Ada banyak aplikasi di Google Play Store yang telah disisipi SparkCat, dengan total unduhan mencapai lebih dari 242.000 kali.

Tidak dapat dipastikan apakah SparkCat telah memasuki aplikasi ini melalui peretasan atau tim pengembang aplikasi itu sendiri adalah kelompok penipuan. Apple telah menurunkan ComeCome APP dari toko iOS, dan Google Play Store juga menurunkan aplikasi bermasalah ini. Namun, para ahli khawatir masih ada banyak aplikasi bisnis yang tampak normal tetapi tersembunyi di dalam toko, dan akan diunduh oleh pengguna yang tidak tahu.

Bagaimana SparkCat beroperasi?

SparkCat merujuk pada modul yang sangat terenkripsi yang disebut Spark dalam aplikasi berbahaya. Perangkat lunak mata-mata ini utamanya ditulis dalam Java dan menggunakan protokol tidak terdeteksi yang diimplementasikan dalam Rust untuk berkomunikasi dengan server kontrol dan perintah jarak jauh )C2(.

Setelah terhubung ke server C2-nya, versi Android Spark akan mengunduh dan menggunakan wrapper antarmuka Pendeteksi Teks di perpustakaan Google ML Kit untuk mengekstrak karakter dari layar. Malware ini akan memuat model OCR yang berbeda berdasarkan bahasa sistem untuk mengenali teks Latin, bahasa Korea, bahasa Tionghoa, atau bahasa Jepang dalam gambar. Jika berinteraksi dengan aplikasi tersebut (melalui SDK Pusat Bantuan Easemob pihak ketiga yang sah), aplikasi tersebut akan meminta akses ke galeri gambar perangkat. Jika penjahat mendapatkan izin akses, mereka akan menggunakan OCR untuk memindai tangkapan layar dan mencuri frasa enkripsi seed dompet dan mengirimkannya ke server C2.

Bagaimana mencegah perangkat lunak mata-mata jahat?

Catatlah frasa seed enkripsi dompet Anda dengan kertas dan pulpen, ini adalah cara paling klasik untuk melindungi frasa seed. Banyak orang cenderung mengambil tangkapan layar dengan ponsel untuk kemudahan, namun para ahli menganggap metode ini lebih berisiko. Selain dari menghindari mengunduh aplikasi dari sumber yang tidak dikenal, penting untuk secara rutin memeriksa izin akses aplikasi, dan memeriksa apakah fungsi perekaman suara, perekaman video, dan tangkapan layar telah diaktifkan tanpa alasan yang jelas. Banyak aplikasi meminta pengguna untuk memberikan izin tersebut saat mengunduh, oleh karena itu penting untuk secara rutin memeriksanya. Matikan izin akses saat tidak digunakan untuk mencegah aplikasi pihak ketiga masuk, ini adalah cara pencegahan dasar yang cukup efektif dalam kehidupan sehari-hari.

Artikel ini mengungkapkan bahwa para ahli telah menemukan perangkat lunak mata-mata yang menyamar sebagai aplikasi pemesanan makanan, dan mencuri frasa seed enkripsi dompet kripto. Artikel ini pertama kali muncul di ABMedia, berita blockchain.