Kaspersky Tehdit Araştırmaları uzmanlık merkezi, en az Mart 2024’ten beri AppStore ve Google Play’de faal olan SparkCat isimli bilgi çalmaya odaklanan yeni bir Truva atı keşfetti.
Bu tehdit, AppStore’da görünen optik tanıma tabanlı makus hedefli yazılımın bilinen birinci örneği olarak dikkat çekiyor. SparkCat, fotoğraf galerilerini taramak ve kripto para cüzdanı kurtarma sözleri içeren ekran manzaralarını çalmak için makine tahsilini kullanıyor. Ayrıyeten manzaralardaki parolalar üzere öbür hassas dataları de bulup çıkarabiliyor.
Kaspersky, tespit ettiği makûs emelli uygulamaları Google ve Apple’a bildirdi.
Yeni makûs maksatlı yazılım nasıl yayılıyor
Kötü gayeli yazılım, hem virüs bulaşmış yasal uygulamalar hem de iletileşme programları, yapay zeka asistanları, yemek teslim hizmetleri, kripto ile ilgili uygulamalar ve başka yemler aracılığıyla yayılıyor. Bu uygulamalardan kimileri Google Play ve AppStore’daki resmi platformlarda mevcut. Kaspersky telemetri bilgileri, virüslü sürümlerin öteki resmi olmayan kaynaklar aracılığıyla dağıtıldığını da gösteriyor. Google Play’de bu uygulamalar 242 bin kezden fazla sefer indirildi.
Kimler maksat alınıyor
Kötü maksatlı yazılım öncelikle Birleşik Arap Emirlikleri’ndeki kullanıcıları ve Avrupa ve Asya’daki ülkeleri maksat alıyor. Uzmanlar, hem virüslü uygulamaların faaliyet alanları hakkındaki bilgilere hem de makûs emelli yazılımın teknik tahliline dayanarak bu sonuca vardılar. SparkCat fotoğraf ve fotoğraf galerilerini Çince, Japonca, Korece, İngilizce, Çekçe, Fransızca, İtalyanca, Lehçe ve Portekizce dahil olmak üzere birçok lisanda anahtar sözler için tarıyor. Lakin uzmanlar öteki ülkelerde de kurbanların olabileceğine inanıyor.
iOS platformundaki yemek dağıtım uygulaması ComeCome, Android versiyonuyla birlikte enfekte olan uygulamalar ortasında.
SparkCat nasıl çalışır
Yeni makûs gayeli yazılım yüklendikten sonra, muhakkak durumlarda kullanıcının akıllı telefon galerisindeki fotoğrafları görüntülemek için erişim talep ediyor. Daha sonra bir optik karakter tanıma (OCR) modülü kullanarak depolanan manzaralardaki metni tahlil ediyor. Yazılım ilgili anahtar sözleri tespit ederse, imgeyi saldırganlara gönderiyor. Bilgisayar korsanlarının birincil amacı kripto para cüzdanları için kurtarma tabirleri bulmak. Bu bilgilerle kurbanın cüzdanı üzerinde tam denetim sağlayabiliyorlar ve içeriğini çalabiliyorlar. Kurtarma cümlelerini çalmanın ötesinde, makus hedefli yazılım ekran imgelerinden iletiler ve şifreler üzere öbür ferdî bilgileri de çıkarabiliyor.
Kaspersky ziyanlı yazılım analisti Sergey Puzan, “Bu, AppStore’a sızan OCR tabanlı Truva atının bilinen birinci hadisesi. Hem AppStore hem de Google Play açısından, şu anda bu mağazalardaki uygulamaların bir tedarik zinciri saldırısı yoluyla mı yoksa çeşitli öbür sistemlerle mi ele geçirildiği belgisiz. Yemek dağıtım hizmetleri üzere kimi uygulamalar legal görünürken, öbürleri açıkça yem olarak tasarlanmış” diyor.
Kaspersky Ziyanlı Yazılım Analisti Dmitry Kalinin de şunları ekledi: “SparkCat kampanyası, kendisini tehlikeli kılan birtakım eşsiz özelliklere sahip. Her şeyden evvel resmi uygulama mağazaları aracılığıyla yayılıyor ve bariz bulaşma belirtileri olmadan çalışıyor. Bu Truva atının saklılığı, hem mağaza denetleyicileri hem de taşınabilir kullanıcılar açısından keşfedilmesini zorlaştırıyor. Ayrıyeten talep ettiği müsaadeler makul göründüğünden gözden kaçmaları son derece kolay. Makûs emelli yazılımın ulaşmaya çalıştığı galeriye erişim, kullanıcı perspektifinden uygulamanın düzgün çalışması için gerekliymiş üzere görünebiliyor. Bu müsaade çoklukla kullanıcıların müşteri takviyesiyle bağlantıya geçmesi üzere ilgili bağlamlarda talep ediliyor.”
Zararlı yazılımın Android sürümlerini tahlil eden Kaspersky uzmanları, kodda Çince yazılmış yorumlara rastladı. Ayrıyeten iOS sürümünde geliştirici ana dizin isimleri olan “qiongwu” ve “quiwengjing” sözlerinin bulunması, tehdidin gerisindeki tehdit aktörlerinin akıcı bir formda Çince konuşabildiğini gösteriyor. Bununla birlikte kampanyayı bilinen bir siber hata kümesine atfetmek için kâfi ispat bulunmuyor.
Makine tahsili takviyeli saldırılar
Siber hatalılar araçlarında yapay hudut ağlarına giderek daha fazla değer veriyor. SparkCat örneğinde, Android modülü, depolanan imajlardaki metni tanımak için Google ML Kit kütüphanesini kullanan bir OCR eklentisinin şifresini çözerek çalıştırıyor. Benzeri bir usul iOS berbat maksatlı modülünde de kullanılıyor.
Kaspersky tahlilleri hem Android hem de iOS kullanıcılarını SparkCat’ten koruyor. Tehdit HEUR:Trojan.IphoneOS.SparkCat.* ve HEUR:Trojan.AndroidOS.SparkCat.* olarak tespit ediliyor.
Bu makûs maksatlı yazılım kampanyasıyla ilgili kapsamlı raporu Securelist’te bulabilirsiniz.
Kaspersky, bu üzere ziyanlı yazılımın kurbanı olmamak için aşağıdaki güvenlik tedbirlerini almanızı öneriyor:
- Virüslü uygulamalardan birini yüklediyseniz, çabucak aygıtınızdan kaldırın ve makus hedefli fonksiyonelliği ortadan kaldırmak için güncelleme yayınlanana kadar kullanmayın.
- Kripto para cüzdanı kurtarma tabirleri de dahil olmak üzere hassas bilgiler içeren ekran imgelerini galerinizde saklamaktan kaçının. Örneğin parolaları Kaspersky Password Manager gibi özel uygulamalarda saklayabilirsiniz.
- Kaspersky Premium gibi muteber siber güvenlik yazılımlarıyla makus gayeli yazılım bulaşmalarını önleyebilirsiniz.
Tehdit Araştırması
Tehdit Araştırması takımı, siber tehditlere karşı muhafaza konusunda başkan bir otoritedir. Tehdit araştırması uzmanlarımız, hem tehdit tahlili hem teknoloji oluşturma süreçlerine etkin olarak katılarak Kaspersky’nin siber güvenlik tahlillerinin derinlemesine bilgi sahibi ve inanılmaz güçlü olmasını sağlar, müşterilerimize ve daha geniş bir topluluğa kritik tehdit istihbaratı ve sağlam güvenlik sunar.
Kaynak: (BYZHA) Beyaz Haber Ajansı
