Kaspersky, AppStore ve Google Play’de yeni kripto hırsızı Truva atı keşfetti

Photo of author

By admin

Kaspersky Tehdit Araştırmaları uzmanlık merkezi, en az Mart 2024’ten beri AppStore ve Google Play’de etkin olan SparkCat isimli data çalmaya odaklanan yeni bir Truva atı keşfetti.

Bu tehdit, AppStore’da görünen optik tanıma tabanlı makus gayeli yazılımın bilinen birinci örneği olarak dikkat çekiyor. SparkCat, fotoğraf galerilerini taramak ve kripto para cüzdanı kurtarma sözleri içeren ekran manzaralarını çalmak için makine tahsilini kullanıyor. Ayrıyeten imgelerdeki parolalar üzere başka hassas bilgileri de bulup çıkarabiliyor.

 

Kaspersky, tespit ettiği berbat emelli uygulamaları Google ve Apple’a bildirdi.

 

Yeni makus gayeli yazılım nasıl yayılıyor

 

Kötü gayeli yazılım, hem virüs bulaşmış yasal uygulamalar hem de iletileşme programları, yapay zeka asistanları, yemek teslim hizmetleri, kripto ile ilgili uygulamalar ve öteki yemler aracılığıyla yayılıyor. Bu uygulamalardan kimileri Google Play ve AppStore’daki resmi platformlarda mevcut. Kaspersky telemetri dataları, virüslü sürümlerin öteki resmi olmayan kaynaklar aracılığıyla dağıtıldığını da gösteriyor. Google Play’de bu uygulamalar 242 bin defadan fazla sefer indirildi.

 

Kimler maksat alınıyor

 

Kötü hedefli yazılım öncelikle Birleşik Arap Emirlikleri’ndeki kullanıcıları ve Avrupa ve Asya’daki ülkeleri maksat alıyor. Uzmanlar, hem virüslü uygulamaların faaliyet alanları hakkındaki bilgilere hem de makus emelli yazılımın teknik tahliline dayanarak bu sonuca vardılar. SparkCat fotoğraf ve fotoğraf galerilerini Çince, Japonca, Korece, İngilizce, Çekçe, Fransızca, İtalyanca, Lehçe ve Portekizce dahil olmak üzere birçok lisanda anahtar sözler için tarıyor. Lakin uzmanlar diğer ülkelerde de kurbanların olabileceğine inanıyor.

iOS platformundaki yemek dağıtım uygulaması ComeCome, Android versiyonuyla birlikte enfekte olan uygulamalar ortasında.

 

SparkCat nasıl çalışır

 

Yeni berbat maksatlı yazılım yüklendikten sonra, makul durumlarda kullanıcının akıllı telefon galerisindeki fotoğrafları görüntülemek için erişim talep ediyor. Daha sonra bir optik karakter tanıma (OCR) modülü kullanarak depolanan manzaralardaki metni tahlil ediyor. Yazılım ilgili anahtar sözleri tespit ederse, imgeyi saldırganlara gönderiyor. Bilgisayar korsanlarının birincil amacı kripto para cüzdanları için kurtarma tabirleri bulmak. Bu bilgilerle kurbanın cüzdanı üzerinde tam denetim sağlayabiliyorlar ve içeriğini çalabiliyorlar. Kurtarma cümlelerini çalmanın ötesinde, berbat hedefli yazılım ekran manzaralarından iletiler ve şifreler üzere öbür şahsî bilgileri de çıkarabiliyor.

 

Kaspersky ziyanlı yazılım analisti Sergey Puzan“Bu, AppStore’a sızan OCR tabanlı Truva atının bilinen birinci hadisesi. Hem AppStore hem de Google Play açısından, şu anda bu mağazalardaki uygulamaların bir tedarik zinciri saldırısı yoluyla mı yoksa çeşitli diğer metotlarla mi ele geçirildiği bilinmeyen. Yemek dağıtım hizmetleri üzere birtakım uygulamalar yasal görünürken, başkaları açıkça yem olarak tasarlanmış” diyor.

 

Kaspersky Ziyanlı Yazılım Analisti Dmitry Kalinin de şunları ekledi: “SparkCat kampanyası, kendisini tehlikeli kılan birtakım eşsiz özelliklere sahip. Her şeyden evvel resmi uygulama mağazaları aracılığıyla yayılıyor ve besbelli bulaşma belirtileri olmadan çalışıyor. Bu Truva atının kapalılığı, hem mağaza denetleyicileri hem de taşınabilir kullanıcılar açısından keşfedilmesini zorlaştırıyor. Ayrıyeten talep ettiği müsaadeler makul göründüğünden gözden kaçmaları son derece kolay. Makûs hedefli yazılımın ulaşmaya çalıştığı galeriye erişim, kullanıcı perspektifinden uygulamanın düzgün çalışması için gerekliymiş üzere görünebiliyor. Bu müsaade ekseriyetle kullanıcıların müşteri dayanağıyla bağlantıya geçmesi üzere ilgili bağlamlarda talep ediliyor.”

 

Zararlı yazılımın Android sürümlerini tahlil eden Kaspersky uzmanları, kodda Çince yazılmış yorumlara rastladı. Ayrıyeten iOS sürümünde geliştirici ana dizin isimleri olan “qiongwu” ve “quiwengjing” sözlerinin bulunması, tehdidin gerisindeki tehdit aktörlerinin akıcı bir formda Çince konuşabildiğini gösteriyor. Bununla birlikte kampanyayı bilinen bir siber cürüm kümesine atfetmek için kâfi delil bulunmuyor.

 

Makine tahsili takviyeli saldırılar

 

Siber hatalılar araçlarında yapay hudut ağlarına giderek daha fazla kıymet veriyor. SparkCat örneğinde, Android modülü, depolanan imgelerdeki metni tanımak için Google ML Kit kütüphanesini kullanan bir OCR eklentisinin şifresini çözerek çalıştırıyor. Benzeri bir metot iOS makûs emelli modülünde de kullanılıyor.

Kaspersky tahlilleri hem Android hem de iOS kullanıcılarını SparkCat’ten koruyor. Tehdit HEUR:Trojan.IphoneOS.SparkCat.* ve HEUR:Trojan.AndroidOS.SparkCat.* olarak tespit ediliyor.

Bu makûs gayeli yazılım kampanyasıyla ilgili kapsamlı raporu Securelist’te bulabilirsiniz.

Kaspersky, bu üzere ziyanlı yazılımın kurbanı olmamak için aşağıdaki güvenlik tedbirlerini almanızı öneriyor:

 

  • Virüslü uygulamalardan birini yüklediyseniz, çabucak aygıtınızdan kaldırın ve makûs hedefli fonksiyonelliği ortadan kaldırmak için güncelleme yayınlanana kadar kullanmayın.
  • Kripto para cüzdanı kurtarma sözleri de dahil olmak üzere hassas bilgiler içeren ekran imgelerini galerinizde saklamaktan kaçının. Örneğin parolaları Kaspersky Password Manager gibi özel uygulamalarda saklayabilirsiniz.
  • Kaspersky Premium gibi muteber siber güvenlik yazılımlarıyla makûs hedefli yazılım bulaşmalarını önleyebilirsiniz.

Tehdit Araştırması

Tehdit Araştırması grubu, siber tehditlere karşı muhafaza konusunda önder bir otoritedir. Tehdit araştırması uzmanlarımız, hem tehdit tahlili hem teknoloji oluşturma süreçlerine faal olarak katılarak Kaspersky’nin siber güvenlik tahlillerinin derinlemesine bilgi sahibi ve harika güçlü olmasını sağlar, müşterilerimize ve daha geniş bir topluluğa kritik tehdit istihbaratı ve sağlam güvenlik sunar.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Yorum yapın