SparkCat Kembali Ancam Pengguna, App Store dan Google Play Kecolongan

Pengguna iPhone dan Android diminta waspada setelah Kaspersky menemukan varian baru SparkCat yang lolos ke toko aplikasi resmi.

Diterbitkan 06 April 2026, 08:30 WIB
Share
Copy Link
Batalkan

Liputan6.com, Jakarta - Ancaman malware di ponsel kembali membuat pengguna HP Android dan iPhone waspada. Baru-baru ini, Kaspersky Threat Research mengungkap laporan varian baru trojan SparkCat kembali ditemukan di App Store dan Google Play

Padahal, setahun lalu malware pencuri aset kripto ini sudah terdeteksi dan langsung dihapus dari kedua platform digital tersebut. Tidak menyusup lewat aplikasi mencurigakan, malware ini ternyata bersembunyi di aplikasi tampak sah.

Dengan cara ini, SparkCat mampu memindai galeri foto pengguna untuk mencari frasa pemulihan dompet aset kripto.

Mengutip laporan Kaspersky, Senin (6/4/2026), pelaku kejahatan siber mendistribusi varian baru SparkCat melalui aplikasi sah yang telah terinfeksi. Aplikasi yang disusupi pun beragam, mulai dari layanan pesan untuk komunikasi perusahaan dan aplikasi pengiriman makanan.

Tim peneliti Kaspersky mendapati dua aplikasi terinfeksi di App Store dan satu di Google Play. Meski kode berbahayanya kini telah dihapus, masalahnya tidak serta merta berhenti begitu saja.

Telemetri Kaspersky menunjukkan, aplikasi terinfeksi SparkCat turut beredar lewat sumber atau toko aplikasi pihak ketiga. Penjahat siber juga menggunakan cara menipu korban dengan membuat website mirip App Store saat dibuka melalui iPhone.

Cara kerja malware ini pun membuat ancamannya terasa dekat dengan kebiasaan harian pengguna, di mana varian Android diketahui memindai galeri gambar untuk mencari tangkapan layar dengan kata kunci tertentu dalam bahasa Jepang, China, dan Korea.

Berdasarkan pola tersebut, Kaspersky menilai aksi kejahatan siber ini menyasar aset kripto pengguna di Asia. Sedangkan untuk varian iOS, SparkCat memindai frasa mnemonik dompet kripto dalam bahasa Inggris. 

Kasperksy mengakui, SparkCat versi baru ini lebih licin untuk ditangkap. Varian Android diperbarui memakai beberapa lapisan, termasuk virtualisasi kode dan penggunaan bahasa lintas platform.

Dijelaskan teknik ini jarang ditemukan pada malware seluler, sekaligus menunjukkan pelaku di balik SparkCat memiliki kemampuan teknis atau coding tinggi.

Sergey Puzan, pakar keamanan siber di Kaspersky mengatakan, “varian SparkCat terbaru masih memakai pola mirip dengan versi sebelumnya. Malware itu meminta akses untuk melihat foto di galeri foto, dan menganalisis teks di dalam gambar menggunakan modul pengenalan karakter optik atau OCR.”

Saat menemukan kata kunci relevan, gambar tersebut akan dikirim ke pelaku serangan siber. “Kemiripan antara sampel lama dan baru diyakini pengembang malware ini adalah pihak sama,” katanya.

Kaspersky berharap, pengguna iPhone dan Android harus lebih berhati-hati lagi karena kebiasaan selama ini terasa aman bisa berubah menjadi celah berbahaya yang dimanfaatkan oleh pelaku kejahatan.

90.000 Serangan Trojan GoPix Incar Transaksi Kripto dan Perbankan

Trojan menyerang transaksi bank dan kripto ©Ilustrasi dibuat AI

Di sisi lain, tim Riset dan Analisis Global (GReAT) dari Kasperskymengungkap serangan terbaru dari GoPix, sebuah trojan perbankan asal Brasil yang kini makin ganas dengan tingkat kompleksitas tinggi.

Setelah aktif selama tiga tahun, malware ini berevolusi menggunakan teknik serangan yang lebih sulit dideteksi untuk menyasar nasabah lembaga keuangan serta pengguna aset kripto.

“GoPix telah mencapai tingkat kecanggihan yang belum pernah terlihat sebelumnya pada malware asal Brasil. Kami memantau ancaman ini sejak 2023 dan aktivitasnya terus melonjak, di mana hingga Maret 2026 telah terdeteksi 90.000 upaya infeksi (serangan)," ujar Kepala Unit Amerika & Eropa di Kaspersky GReAT, Fabio Assolini, dalam keterangannya, Senin (23/3/2026).

Fabio menambahkan, ancaman ini menggunakan metode infeksi tersembunyi dan teknik baru untuk menghindari perangkat lunak keamanan agar tetap bisa beroperasi.

Modus operandi GoPix diawali melalui iklan berbahaya di layanan Google Ads. Pelaku memanfaatkan nama-nama besar seperti WhatsApp, Google Chrome, hingga layanan pos Brasil, Correios, untuk memancing korban ke situs palsu.

Menariknya, malware ini dilengkapi sistem penilaian IP untuk memfilter pengunjung; jika terdeteksi sebagai bot atau peneliti keamanan, malware tidak akan dikirimkan. 

Teknik Canggih Serupa APT

Para peneliti menemukan bahwa kelompok di balik GoPix mulai mengadopsi taktik yang biasanya digunakan oleh kelompok Advanced Persistent Threat (APT) atau spionase siber tingkat tinggi.

Salah satu teknik utamanya adalah penggunaan memory-only implantation, di mana modul berbahaya dimuat langsung ke memori perangkat tanpa meninggalkan jejak fisik di hard drive.

Langkah ini secara efektif melumpuhkan alat pemindaian keamanan konvensional seperti YARA. Selain itu, GoPix menggunakan server Command and Control (C2) dengan masa pakai yang sangat singkat, sehingga sulit untuk dilacak oleh tim forensik digital.

Dalam versi terbarunya, GoPix mampu melancarkan serangan Man-in-the-Middle (MitM). Kemampuan ini memungkinkan peretas untuk memantau dan mengubah transaksi pembayaran real-time (seperti sistem Pix di Brasil)

Juga memanipulasi slip pembayaran (Boleto) dan membelokkan transaksi aset kripto ke dompet milik pelaku.

Trojan ini juga memiliki kemampuan untuk berpindah antar proses sistem guna menjalankan fungsi spesifik, bahkan mampu menonaktifkan perangkat lunak keamanan yang terpasang di perangkat korban.