Apple dikenal sebagai salah satu perusahaan yang memiliki ekosistem smartphone paling aman. Selama bertahun-tahun, analisis independen oleh para ahli keamanan telah berulang kali membuktikan hal tersebut. Namun, sistem keamanan Apple kini menghadapi ancaman baru yang mengkhawatirkan, di mana malware yang memiliki kemampuan Optical Character Recognition (OCR) berhasil ditemukan di App Store untuk pertama kalinya.
Menurut analisis yang dilakukan oleh Kaspersky, malware tersebut tidak mencuri file yang tersimpan di ponsel. Sebaliknya, ia memindai screenshot yang disimpan secara lokal, menganalisis konten teks, dan mengirimkan informasi yang diperlukan ke server. Operasi penyebaran malware yang diberi kode “SparkCat” ini menargetkan aplikasi yang diunduh dari repositori resmi — termasuk Google Play Store dan App Store Apple — serta sumber pihak ketiga. Dalam satu operasi, aplikasi yang terinfeksi berhasil mengumpulkan sekitar dua ratus lima puluh ribu unduhan di kedua platform tersebut.
Menariknya, malware ini memanfaatkan Google’s ML Kit, sebuah toolkit yang memungkinkan developer untuk menerapkan kemampuan machine learning guna memproses data dengan cepat dan offline dalam aplikasi. Sistem ML Kit ini lah yang akhirnya memungkinkan model OCR milik Google untuk memindai foto yang tersimpan di iPhone dan mengenali teks yang berisi informasi sensitif. Hal ini menunjukkan betapa canggihnya teknologi yang dapat disalahgunakan oleh pihak yang tidak bertanggung jawab.
Kaspersky juga mencatat bahwa malware ini bukan hanya dapat mencuri kode pemulihan terkait cryptocurrency, tetapi juga mampu mengambil data sensitif lainnya dari galeri, seperti pesan atau kata sandi yang mungkin telah diambil dalam bentuk screenshot. Dalam hal ini, salah satu aplikasi yang menjadi target adalah ComeCome, yang terlihat seperti aplikasi pengiriman makanan asal China, tetapi ternyata terinfeksi dengan malware pembaca screenshot. Ini adalah kasus pertama yang diketahui di mana aplikasi yang terinfeksi spyware OCR ditemukan di marketplace resmi Apple, menyoroti potensi kerentanan yang ada.
Walaupun demikian, masih belum jelas apakah para pengembang aplikasi yang bermasalah tersebut terlibat dalam menyisipkan malware, atau jika ini merupakan serangan terhadap rantai pasokan. Meskipun asal-usulnya tidak pasti, seluruh proses tampak cukup tidak mencolok, karena aplikasi tersebut terlihat sah dan melayani fungsi seperti pengiriman makanan, pembelajaran AI, dan komunikasi. Menariknya, malware lintas platform ini juga mampu menyembunyikan keberadaannya, yang membuatnya semakin sulit terdeteksi.
Tujuan utama dari kampanye ini adalah untuk mencuri frasa pemulihan dompet cryptocurrency, yang dapat memungkinkan aktor jahat mengambil alih dompet crypto seseorang dan mengakses aset mereka. Wilayah sasaran tampaknya lebih banyak berada di Eropa dan Asia, namun beberapa aplikasi yang terdaftar juga terlihat beroperasi di Afrika dan wilayah lainnya.
Kejadian ini merupakan peringatan bagi pengguna iPhone dan pengguna perangkat Apple lainnya untuk lebih berhati-hati dalam mengunduh aplikasi. Memastikan bahwa aplikasi diunduh hanya dari sumber resmi serta memahami izin yang diminta oleh aplikasi dapat membantu mengurangi risiko mengalami serangan oleh malware semacam ini. Tindakan defensif seperti ini penting, terutama ketika kehadiran malware yang dapat mengakses data sensitif nyata. Dalam dunia yang semakin terhubung, kesadaran akan keamanan digital menjadi lebih penting dari sebelumnya.
