Pengguna Android dan iPhone perlu berhati-hati terhadap aplikasi yang menyasar untuk mencuri informasi sensitif, terutama terkait dengan dompet kripto. Aplikasi tersebut menggunakan software development kit (SDK) yang dirancang untuk mencuri kode pemulihan dompet kripto dengan menggunakan OCR. Kampanye serangan siber ini dikenal sebagai “SparkCat” karena unsur “Spark” dalam aplikasi yang terinfeksi. Menurut laporan, aplikasi yang memiliki SDK berbahaya telah diunduh lebih dari 242.000 kali melalui Google Play Store. Beberapa pengembang mungkin tidak menyadari keberadaan SDK ini dalam aplikasi yang mereka kembangkan.
SDK berbahaya pada aplikasi Android menggunakan komponen Java yang menyamar sebagai modul analitik dengan nama “Spark.” Komponen ini menggunakan file konfigurasi terenkripsi yang disimpan di GitLab sebagai pengaturan operasional. Sementara itu, aplikasi iOS menggunakan berbagai nama untuk framework berbahaya ini seperti “Gzip,” “googleappsdk,” atau “stat.” Framework tersebut juga menggunakan modul jaringan berbasis Rust untuk komunikasi dengan server command and control (C2). Melalui penggunaan Google ML Kit OCR, modul ini dapat mengekstrak teks dari gambar pada perangkat untuk mencari kata sandi pemulihan dompet kripto.
Kaspersky menegaskan bahwa meskipun beberapa aplikasi terinfeksi menargetkan wilayah tertentu, kita tidak boleh lengah terhadap kemungkinan perangkat tersebut tetap beroperasi di luar wilayah geografis yang diinginkan. Terdapat 18 aplikasi Android dan 10 aplikasi iOS yang terinfeksi, dan sebagian besar masih tersedia di toko aplikasi masing-masing. Contoh aplikasi yang terinfeksi adalah ChatAi, yang telah mengunduh lebih dari 50.000 kali sebelum ditarik dari Google Play Store karena infeksi. Dikhawatirkan bahwa aplikasi yang tidak terdeteksi dapat terus beredar di platform aplikasi tanpa diketahui oleh pengguna.
