Kaspersky, AppStore ve Google Play’de yeni kripto hırsızı Truva atı keşfetti

Kaspersky Tehdit Araştırmaları uzmanlık merkezi, en az Mart 2024’ten beri AppStore ve Google Play’de faal olan SparkCat isimli bilgi çalmaya odaklanan yeni bir Truva atı keşfetti.

Bu tehdit, AppStore’da görünen optik tanıma tabanlı berbat maksatlı yazılımın bilinen birinci örneği olarak dikkat çekiyor. SparkCat, fotoğraf galerilerini taramak ve kripto para cüzdanı kurtarma tabirleri içeren ekran imajlarını çalmak için makine tahsilini kullanıyor. Ayrıyeten imgelerdeki parolalar üzere başka hassas bilgileri de bulup çıkarabiliyor.

Kaspersky, tespit ettiği berbat hedefli uygulamaları Google ve Apple’a bildirdi.

Yeni makûs maksatlı yazılım nasıl yayılıyor

Kötü emelli yazılım, hem virüs bulaşmış yasal uygulamalar hem de iletileşme programları, yapay zeka asistanları, yemek teslim hizmetleri, kripto ile ilgili uygulamalar ve öbür yemler aracılığıyla yayılıyor. Bu uygulamalardan kimileri Google Play ve AppStore’daki resmi platformlarda mevcut. Kaspersky telemetri dataları, virüslü sürümlerin öteki resmi olmayan kaynaklar aracılığıyla dağıtıldığını da gösteriyor. Google Play’de bu uygulamalar 242 bin defadan fazla defa indirildi.

Kimler maksat alınıyor

Kötü emelli yazılım öncelikle Birleşik Arap Emirlikleri’ndeki kullanıcıları ve Avrupa ve Asya’daki ülkeleri gaye alıyor. Uzmanlar, hem virüslü uygulamaların faaliyet alanları hakkındaki bilgilere hem de makûs hedefli yazılımın teknik tahliline dayanarak bu sonuca vardılar. SparkCat fotoğraf ve fotoğraf galerilerini Çince, Japonca, Korece, İngilizce, Çekçe, Fransızca, İtalyanca, Lehçe ve Portekizce dahil olmak üzere birçok lisanda anahtar sözler için tarıyor. Lakin uzmanlar öteki ülkelerde de kurbanların olabileceğine inanıyor.

iOS platformundaki yemek dağıtım uygulaması ComeCome, Android versiyonuyla birlikte enfekte olan uygulamalar ortasında.

SparkCat nasıl çalışır

Yeni makus emelli yazılım yüklendikten sonra, belli durumlarda kullanıcının akıllı telefon galerisindeki fotoğrafları görüntülemek için erişim talep ediyor. Daha sonra bir optik karakter tanıma (OCR) modülü kullanarak depolanan manzaralardaki metni tahlil ediyor. Yazılım ilgili anahtar sözleri tespit ederse, imgeyi saldırganlara gönderiyor. Bilgisayar korsanlarının birincil gayesi kripto para cüzdanları için kurtarma tabirleri bulmak. Bu bilgilerle kurbanın cüzdanı üzerinde tam denetim sağlayabiliyorlar ve içeriğini çalabiliyorlar. Kurtarma cümlelerini çalmanın ötesinde, makus maksatlı yazılım ekran manzaralarından iletiler ve şifreler üzere öbür ferdî bilgileri de çıkarabiliyor.

Kaspersky ziyanlı yazılım analisti Sergey Puzan, “Bu, AppStore’a sızan OCR tabanlı Truva atının bilinen birinci olayı. Hem AppStore hem de Google Play açısından, şu anda bu mağazalardaki uygulamaların bir tedarik zinciri saldırısı yoluyla mı yoksa çeşitli öbür metotlarla mi ele geçirildiği belgisiz. Yemek dağıtım hizmetleri üzere kimi uygulamalar legal görünürken, öbürleri açıkça yem olarak tasarlanmış” diyor.

Kaspersky Ziyanlı Yazılım Analisti Dmitry Kalinin de şunları ekledi: “SparkCat kampanyası, kendisini tehlikeli kılan birtakım eşsiz özelliklere sahip. Her şeyden evvel resmi uygulama mağazaları aracılığıyla yayılıyor ve besbelli bulaşma belirtileri olmadan çalışıyor. Bu Truva atının kapalılığı, hem mağaza denetleyicileri hem de taşınabilir kullanıcılar açısından keşfedilmesini zorlaştırıyor. Ayrıyeten talep ettiği müsaadeler makul göründüğünden gözden kaçmaları son derece kolay. Makûs maksatlı yazılımın ulaşmaya çalıştığı galeriye erişim, kullanıcı perspektifinden uygulamanın düzgün çalışması için gerekliymiş üzere görünebiliyor. Bu müsaade ekseriyetle kullanıcıların müşteri takviyesiyle irtibata geçmesi üzere ilgili bağlamlarda talep ediliyor.”

Zararlı yazılımın Android sürümlerini tahlil eden Kaspersky uzmanları, kodda Çince yazılmış yorumlara rastladı. Ayrıyeten iOS sürümünde geliştirici ana dizin isimleri olan “qiongwu” ve “quiwengjing” sözlerinin bulunması, tehdidin gerisindeki tehdit aktörlerinin akıcı bir biçimde Çince konuşabildiğini gösteriyor. Bununla birlikte kampanyayı bilinen bir siber cürüm kümesine atfetmek için kâfi delil bulunmuyor.

Makine tahsili takviyeli saldırılar

Siber hatalılar araçlarında yapay hudut ağlarına giderek daha fazla ehemmiyet veriyor. SparkCat örneğinde, Android modülü, depolanan manzaralardaki metni tanımak için Google ML Kit kütüphanesini kullanan bir OCR eklentisinin şifresini çözerek çalıştırıyor. Benzeri bir yol iOS makus maksatlı modülünde de kullanılıyor.

Kaspersky tahlilleri hem Android hem de iOS kullanıcılarını SparkCat’ten koruyor. Tehdit HEUR:Trojan.IphoneOS.SparkCat.* ve HEUR:Trojan.AndroidOS.SparkCat.* olarak tespit ediliyor.

Bu berbat maksatlı yazılım kampanyasıyla ilgili kapsamlı raporu Securelist’te bulabilirsiniz.

Kaspersky, bu üzere ziyanlı yazılımın kurbanı olmamak için aşağıdaki güvenlik tedbirlerini almanızı öneriyor:

• Virüslü uygulamalardan birini yüklediyseniz, çabucak aygıtınızdan kaldırın ve makûs maksatlı fonksiyonelliği ortadan kaldırmak için güncelleme yayınlanana kadar kullanmayın.
• Kripto para cüzdanı kurtarma tabirleri de dahil olmak üzere hassas bilgiler içeren ekran imajlarını galerinizde saklamaktan kaçının. Örneğin parolaları Kaspersky Password Manager gibi özel uygulamalarda saklayabilirsiniz.
• Kaspersky Premium gibi emniyetli siber güvenlik yazılımlarıyla berbat maksatlı yazılım bulaşmalarını önleyebilirsiniz.

Tehdit Araştırması

Tehdit Araştırması grubu, siber tehditlere karşı muhafaza konusunda önder bir otoritedir. Tehdit araştırması uzmanlarımız, hem tehdit tahlili hem teknoloji oluşturma süreçlerine etkin olarak katılarak Kaspersky’nin siber güvenlik tahlillerinin derinlemesine bilgi sahibi ve harikulâde güçlü olmasını sağlar, müşterilerimize ve daha geniş bir topluluğa kritik tehdit istihbaratı ve sağlam güvenlik sunar.

Kaynak: (BYZHA) Beyaz Haber Ajansı