Kaspersky, kripto varlık hırsızlığı hedefiyle geliştirilen SparkCat Truva Atı’nın (Trojan) yeni bir varyantını tespit etti. Kelam konusu berbat emelli yazılım, birinci kez keşfedilip her iki platformdan da kaldırılmasından bir yıl sonra tekrar App Store ve Google Play’de ortaya çıktı. Legal görünümlü uygulamaların içine gizlenen Truva Atı, kullanıcıların fotoğraf galerilerini tarayarak kripto para cüzdanı kurtarma sözlerini ele geçirmeyi hedefliyor.
SparkCat’in bu yeni versiyonu, kurumsal irtibat için tasarlanmış iletileşme uygulamaları ile bir yemek teslimat uygulaması üzere görünürde muteber uygulamalar üzerinden yayılıyor. Kaspersky uzmanları, App Store’da iki, Google Play’de ise bir enfekte uygulama tespit etti; kelam konusu uygulamalardaki ziyanlı kodlar daha sonra kaldırıldı. Kaspersky telemetri bilgileri, SparkCat bulaşmış uygulamaların üçüncü taraf kaynaklar üzerinden de dağıtıldığını ortaya koyuyor. Bu dağıtım kanallarından kimileri, iPhone üzerinden erişildiğinde App Store arayüzünü taklit eden web sayfalarından oluşuyor.
Android için geliştirilen aktüel varyant, ele geçirilen aygıtlardaki görsel galerileri tarayarak Japonca, Korece ve Çince anahtar sözler içeren ekran imajlarını maksat alıyor. Bu durum, kampanyanın yüklü olarak Asya’daki kullanıcıların kripto varlıklarını hedeflediğine işaret ediyor. iOS versiyonu ise farklı bir yaklaşım izleyerek İngilizce yazılmış kripto cüzdan kurtarma tabirlerini tarıyor. Bu da iOS varyantının coğrafik sonlardan bağımsız olarak daha geniş bir kullanıcı kitlesini etkileyebileceği manasına geliyor.
SparkCat’in Android sürümünün güncellenmiş versiyonu, evvelki sürümlere kıyasla daha gelişmiş gizleme (obfuscation) katmanları içeriyor. Kod sanallaştırma ve platformlar ortası programlama lisanlarının kullanımı üzere taşınabilir ziyanlı yazılımlarda nadir görülen teknikler dikkat çekiyor.
Kaspersky, tespit edilen ziyanlı uygulamaları Google ve Apple’a bildirdi.
Kaspersky Siber Güvenlik Uzmanı Sergey Puzan konuyla ilgili olarak şunları söyledi: “SparkCat’in güncellenmiş varyantı, tıpkı birinci versiyonunda olduğu üzere makul senaryolarda kullanıcının fotoğraf galerisine erişim müsaadesi talep ediyor. Ziyanlı yazılım, optik karakter tanıma (OCR) modülü aracılığıyla görsellerdeki metinleri tahlil ediyor. Şayet ilgili anahtar sözler tespit edilirse, görseller saldırganlara gönderiliyor. Mevcut örnek ile evvelki sürüm ortasındaki benzerlikler, bu yeni varyantın birebir geliştiriciler tarafından hazırlandığını düşündürüyor. Bu kampanya, taşınabilir aygıtları geniş kapsamlı siber tehditlere karşı korumak için güvenlik tahlillerinin değerini bir kere daha ortaya koyuyor.”
Kaspersky Siber Güvenlik Uzmanı Dmitry Kalinin ise şu değerlendirmede bulundu: “SparkCat ziyanlı yazılımı, daima evrilen bir taşınabilir tehdit olarak öne çıkıyor. Ardındaki tehdit aktörleri, tahlilden kaçınma tekniklerinin karmaşıklığını daima artırarak resmi uygulama mağazalarının inceleme süreçlerini aşmayı başarıyor. Ayrıyeten kod sanallaştırma ve platformlar ortası programlama lisanı kullanımı üzere usuller, taşınabilir ziyanlı yazılımlarda epey ender görülüyor. Bu durum, saldırganların yüksek teknik yetkinliğe sahip olduğunu gösteriyor.”
Kaspersky, bu tıp tehditlerden korunmak için şu tedbirleri öneriyor:
- Akıllı telefonlarınızı siber taarruzlara karşı koruyacak sağlam bir güvenlik yazılımı kullanın. Örneğin Kaspersky for Mobile, taşınabilir aygıtlardaki bilgilerin korunmasına yardımcı olur. Android için Kaspersky, ziyanlı yazılımların yüklenmesini engellerken; iOS için Kaspersky, Apple işletim sisteminin mimari yapısı gereği saldırganların komuta sunucularına ilişki teşebbüslerini tespit ederek kullanıcıyı uyarır.
- Kripto cüzdanı kurtarma tabirleri üzere hassas bilgileri içeren ekran imgelerini aygıt galerinizde saklamaktan kaçının. Bu çeşit kritik dataları ve kıymetli dokümanları, Kaspersky Password Manager gibi özel uygulamalarda depolayın.
- Uygulamaları resmi mağazalardan indirirken dahi dikkatli olun; bu platformlar her vakit büsbütün risksiz değildir.
Kaynak: (BYZHA) Beyaz Haber Ajansı
