Dunia kripto kembali diguncang dengan munculnya malware baru bernama SparkKitty, yang menyasar pengguna perangkat Android dan iOS. Malware ini menyusup lewat aplikasi yang sempat tersedia di Google Play Store dan Apple App Store, dengan modus mencuri gambar dari galeri foto, khususnya yang mengandung seed phrase dompet kripto.

SparkKitty diyakini merupakan evolusi dari malware SparkCat, yang pertama kali ditemukan oleh Kaspersky pada Januari lalu. SparkCat dikenal menggunakan teknologi optical character recognition (OCR) untuk membaca dan mencuri seed phrase dari gambar yang tersimpan di perangkat.

Dalam praktiknya, SparkKitty menyamar melalui berbagai aplikasi, termasuk:

• 币coin di Apple App Store
• SOEX di Google Play, aplikasi pesan yang menggabungkan fitur pertukaran kripto, telah diunduh lebih dari 10.000 kali.

Kedua aplikasi tersebut kini telah dihapus dari toko resmi. Namun, malware juga didistribusikan melalui situs tidak resmi dalam bentuk aplikasi modifikasi TikTok, permainan bertema dewasa, dan aplikasi kasino palsu.

Pada perangkat iOS, malware disematkan sebagai framework palsu seperti AFNetworking.framework atau libswiftDarwin.dylib, lalu dijalankan otomatis saat aplikasi dibuka. Ia meminta akses ke galeri foto dan terus memantau setiap perubahan, lalu mengunggah gambar baik baru maupun lama ke server peretas.

Di Android, malware hadir dalam bentuk aplikasi berbasis Java/Kotlin yang meminta izin akses penyimpanan. SparkKitty di Android bahkan menggunakan Google ML Kit OCR untuk mengenali gambar yang mengandung teks, lalu hanya mengunggah gambar yang relevan.

Baca Juga: Grup Peretas R00TK1T Klaim Bobol Data 927 Ribu Pengguna TikTok

Beberapa versi juga menggunakan modul jahat seperti Xposed atau LSPosed untuk memperluas cakupan serangan.

Meskipun target utama malware ini adalah seed phrase yang bisa digunakan untuk mengakses dan memulihkan dompet kripto pakar keamanan memperingatkan bahwa gambar lain yang bersifat pribadi juga bisa dicuri dan disalahgunakan untuk pemerasan atau doxing.

“Malware ini mencuri semua gambar dari perangkat yang terinfeksi tanpa pandang bulu. Bahkan jika hanya satu foto seed phrase yang diambil, seluruh aset kripto Anda bisa hilang,” ujar analis Kaspersky.

Google telah mengkonfirmasi bahwa aplikasi terkait telah dihapus dan pengembangnya telah diblokir permanen dari Google Play. “Pengguna Android secara otomatis terlindungi oleh Google Play Protect, yang aktif secara default di perangkat Android dengan layanan Google Play,” ujar juru bicara Google.

Sedangkan Apple belum memberikan tanggapan resmi hingga saat ini. Kaspersky dan pakar keamanan siber merekomendasikan langkah-langkah berikut untuk mengantisipasi bahaya malware ini:

• Jangan pernah menyimpan gambar seed phrase di perangkat apa pun
• Simpan seed phrase secara offline di tempat yang aman
• Periksa izin aplikasi saat instalasi, khususnya akses ke galeri foto
• Hindari aplikasi dari sumber tidak resmi
• Aktifkan Google Play Protect di perangkat Android
• Hindari instalasi profil atau sertifikat iOS dari sumber yang tidak tepercaya
• Waspadai aplikasi dengan review mencurigakan, seperti unduhan rendah tapi rating tinggi

Kejadian ini sekali lagi menunjukkan bahwa bahkan aplikasi dari toko resmi pun tak sepenuhnya aman. Pengguna tetap harus cermat sebelum mengunduh dan memasang aplikasi apa pun, terutama yang berkaitan dengan keuangan digital dan kripto.