Pengguna Android dan iPhone perlu mewaspadai aplikasi yang dapat membobol rekening mereka. Aplikasi yang secara tidak disadari terinfeksi software development kit (SDK) yang dirancang untuk mencuri kode pemulihan dompet kripto dengan menggunakan metode pencuri pengenalan karakter optik (OCR). Serangan siber yang dikenal sebagai “SparkCat” ini melibatkan aplikasi yang tersedia di Google Play Store dan App Store, dimana para pengembang aplikasi tersebut kemungkinan besar tidak mengetahui adanya komponen berbahaya dalam aplikasi mereka. Kaspersky melaporkan bahwa aplikasi yang terinfeksi telah diunduh lebih dari 242.000 kali hanya dari Google Play, menjadikannya kasus pertama yang diketahui mencakup pencurian di App Store.
SDK berbahaya pada aplikasi Android menggunakan komponen Java yang disamarkan sebagai modul analitik bernama “Spark”. Modul ini dapat mengakses file konfigurasi terenkripsi yang disimpan di GitLab untuk menerima perintah dan pembaruan operasional. Sementara pada platform iOS, kerangka kerja berbahaya ini memiliki beberapa nama seperti “Gzip,” “googleappsdk,” atau “stat,” dan menggunakan modul jaringan berbasis Rust untuk berkomunikasi dengan server command and control (C2). Malware ini juga memanfaatkan Google ML Kit OCR untuk mengekstrak teks dari gambar perangkat pengguna dan mencari frasa pemulihan dompet kripto tanpa memerlukan kata sandi.
Kaspersky menjelaskan bahwa malware ini memuat model OCR yang berbeda tergantung pada bahasa sistem perangkat, seperti karakter Latin, Korea, Cina, dan Jepang. Malware ini kemudian mengunggah data perangkat ke server perintah dan menerima instruksi yang mengatur operasi selanjutnya. Meskipun beberapa aplikasi menunjukkan penargetan wilayah tertentu, pengguna perlu waspada terhadap kemungkinan perangkat bekerja di luar wilayah geografis yang ditentukan. Saat ini, ada 18 aplikasi Android dan 10 aplikasi iOS yang terinfeksi, dan aplikasi tersebut masih tersedia di toko aplikasi masing-masing. Salah satu aplikasi yang dilaporkan terinfeksi adalah ChatAi, yang sudah tidak lagi tersedia di Google Play setelah diunduh lebih dari 50.000 kali.
