Kaspersky Tehdit Araştırmaları uzmanlık merkezi, en az Mart 2024’ten beri AppStore ve Google Play’de etkin olan SparkCat isimli data çalmaya odaklanan yeni bir Truva atı keşfetti.
Bu tehdit, AppStore’da görünen optik tanıma tabanlı makus maksatlı yazılımın bilinen birinci örneği olarak dikkat çekiyor. SparkCat, fotoğraf galerilerini taramak ve kripto para cüzdanı kurtarma tabirleri içeren ekran manzaralarını çalmak için makine tahsilini kullanıyor. Ayrıyeten imgelerdeki parolalar üzere başka hassas dataları de bulup çıkarabiliyor.
Kaspersky, tespit ettiği makûs gayeli uygulamaları Google ve Apple’a bildirdi.
Yeni makûs gayeli yazılım nasıl yayılıyor
Kötü gayeli yazılım, hem virüs bulaşmış yasal uygulamalar hem de iletileşme programları, yapay zeka asistanları, yemek teslim hizmetleri, kripto ile ilgili uygulamalar ve öbür yemler aracılığıyla yayılıyor. Bu uygulamalardan kimileri Google Play ve AppStore’daki resmi platformlarda mevcut. Kaspersky telemetri dataları, virüslü sürümlerin öbür resmi olmayan kaynaklar aracılığıyla dağıtıldığını da gösteriyor. Google Play’de bu uygulamalar 242 bin seferden fazla kere indirildi.
Kimler gaye alınıyor
Kötü gayeli yazılım öncelikle Birleşik Arap Emirlikleri’ndeki kullanıcıları ve Avrupa ve Asya’daki ülkeleri amaç alıyor. Uzmanlar, hem virüslü uygulamaların faaliyet alanları hakkındaki bilgilere hem de makus emelli yazılımın teknik tahliline dayanarak bu sonuca vardılar. SparkCat fotoğraf ve fotoğraf galerilerini Çince, Japonca, Korece, İngilizce, Çekçe, Fransızca, İtalyanca, Lehçe ve Portekizce dahil olmak üzere birçok lisanda anahtar sözler için tarıyor. Lakin uzmanlar öbür ülkelerde de kurbanların olabileceğine inanıyor.
iOS platformundaki yemek dağıtım uygulaması ComeCome, Android versiyonuyla birlikte enfekte olan uygulamalar ortasında.
SparkCat nasıl çalışır
Yeni makus gayeli yazılım yüklendikten sonra, muhakkak durumlarda kullanıcının akıllı telefon galerisindeki fotoğrafları görüntülemek için erişim talep ediyor. Daha sonra bir optik karakter tanıma (OCR) modülü kullanarak depolanan manzaralardaki metni tahlil ediyor. Yazılım ilgili anahtar sözleri tespit ederse, manzarayı saldırganlara gönderiyor. Bilgisayar korsanlarının birincil amacı kripto para cüzdanları için kurtarma sözleri bulmak. Bu bilgilerle kurbanın cüzdanı üzerinde tam denetim sağlayabiliyorlar ve içeriğini çalabiliyorlar. Kurtarma cümlelerini çalmanın ötesinde, makus gayeli yazılım ekran manzaralarından bildiriler ve şifreler üzere öteki ferdî bilgileri de çıkarabiliyor.
Kaspersky ziyanlı yazılım analisti Sergey Puzan, “Bu, AppStore’a sızan OCR tabanlı Truva atının bilinen birinci hadisesi. Hem AppStore hem de Google Play açısından, şu anda bu mağazalardaki uygulamaların bir tedarik zinciri saldırısı yoluyla mı yoksa çeşitli öbür sistemlerle mi ele geçirildiği belgisiz. Yemek dağıtım hizmetleri üzere kimi uygulamalar yasal görünürken, öbürleri açıkça yem olarak tasarlanmış” diyor.
Kaspersky Ziyanlı Yazılım Analisti Dmitry Kalinin de şunları ekledi: “SparkCat kampanyası, kendisini tehlikeli kılan birtakım eşsiz özelliklere sahip. Her şeyden evvel resmi uygulama mağazaları aracılığıyla yayılıyor ve besbelli bulaşma belirtileri olmadan çalışıyor. Bu Truva atının kapalılığı, hem mağaza denetleyicileri hem de taşınabilir kullanıcılar açısından keşfedilmesini zorlaştırıyor. Ayrıyeten talep ettiği müsaadeler makul göründüğünden gözden kaçmaları son derece kolay. Makûs hedefli yazılımın ulaşmaya çalıştığı galeriye erişim, kullanıcı perspektifinden uygulamanın düzgün çalışması için gerekliymiş üzere görünebiliyor. Bu müsaade ekseriyetle kullanıcıların müşteri dayanağıyla bağlantıya geçmesi üzere ilgili bağlamlarda talep ediliyor.”
Zararlı yazılımın Android sürümlerini tahlil eden Kaspersky uzmanları, kodda Çince yazılmış yorumlara rastladı. Ayrıyeten iOS sürümünde geliştirici ana dizin isimleri olan “qiongwu” ve “quiwengjing” sözlerinin bulunması, tehdidin ardındaki tehdit aktörlerinin akıcı bir halde Çince konuşabildiğini gösteriyor. Bununla birlikte kampanyayı bilinen bir siber hata kümesine atfetmek için kâfi delil bulunmuyor.
Makine tahsili takviyeli saldırılar
Siber hatalılar araçlarında yapay hudut ağlarına giderek daha fazla ehemmiyet veriyor. SparkCat örneğinde, Android modülü, depolanan imgelerdeki metni tanımak için Google ML Kit kütüphanesini kullanan bir OCR eklentisinin şifresini çözerek çalıştırıyor. Benzeri bir sistem iOS berbat maksatlı modülünde de kullanılıyor.
Kaspersky tahlilleri hem Android hem de iOS kullanıcılarını SparkCat’ten koruyor. Tehdit HEUR:Trojan.IphoneOS.SparkCat.* ve HEUR:Trojan.AndroidOS.SparkCat.* olarak tespit ediliyor.
Bu berbat gayeli yazılım kampanyasıyla ilgili kapsamlı raporu Securelist’te bulabilirsiniz.
Kaspersky, bu üzere ziyanlı yazılımın kurbanı olmamak için aşağıdaki güvenlik tedbirlerini almanızı öneriyor:
- Virüslü uygulamalardan birini yüklediyseniz, çabucak aygıtınızdan kaldırın ve makus hedefli fonksiyonelliği ortadan kaldırmak için güncelleme yayınlanana kadar kullanmayın.
- Kripto para cüzdanı kurtarma tabirleri de dahil olmak üzere hassas bilgiler içeren ekran manzaralarını galerinizde saklamaktan kaçının. Örneğin parolaları Kaspersky Password Manager gibi özel uygulamalarda saklayabilirsiniz.
- Kaspersky Premium gibi sağlam siber güvenlik yazılımlarıyla berbat hedefli yazılım bulaşmalarını önleyebilirsiniz.
Tehdit Araştırması
Tehdit Araştırması takımı, siber tehditlere karşı müdafaa konusunda başkan bir otoritedir. Tehdit araştırması uzmanlarımız, hem tehdit tahlili hem teknoloji oluşturma süreçlerine etkin olarak katılarak Kaspersky’nin siber güvenlik tahlillerinin derinlemesine bilgi sahibi ve harika güçlü olmasını sağlar, müşterilerimize ve daha geniş bir topluluğa kritik tehdit istihbaratı ve sağlam güvenlik sunar.
Kaynak: (BYZHA) Beyaz Haber Ajansı