Kaspersky Tehdit Araştırmaları uzmanlık merkezi, en az Mart 2024’ten beri AppStore ve Google Play’de aktif olan SparkCat adlı veri çalmaya odaklanan yeni bir Truva atı keşfetti. Bu tehdit, AppStore’da görünen optik tanıma tabanlı kötü amaçlı yazılımın bilinen ilk örneği olarak dikkat çekiyor. SparkCat, resim galerilerini taramak ve kripto para cüzdanı kurtarma ifadeleri içeren ekran görüntülerini çalmak için makine öğrenimini kullanıyor. Ayrıca görüntülerdeki parolalar gibi diğer hassas verileri de bulup çıkarabiliyor.
Kaspersky, tespit ettiği kötü amaçlı uygulamaları Google ve Apple’a bildirdi.
Yeni kötü amaçlı yazılım nasıl yayılıyor?
Kötü amaçlı yazılım, hem virüs bulaşmış yasal uygulamalar hem de mesajlaşma programları, yapay zeka asistanları, yemek teslim hizmetleri, kripto ile ilgili uygulamalar ve diğer yemler aracılığıyla yayılıyor. Bu uygulamalardan bazıları Google Play ve AppStore’daki resmi platformlarda mevcut. Kaspersky telemetri verileri, virüslü sürümlerin diğer resmi olmayan kaynaklar aracılığıyla dağıtıldığını da gösteriyor. Google Play’de bu uygulamalar 242 bin kereden fazla kez indirildi.
Kimler hedef alınıyor?
Kötü amaçlı yazılım öncelikle Birleşik Arap Emirlikleri’ndeki kullanıcıları ve Avrupa ve Asya’daki ülkeleri hedef alıyor. Uzmanlar, hem virüslü uygulamaların faaliyet alanları hakkındaki bilgilere hem de kötü amaçlı yazılımın teknik analizine dayanarak bu sonuca vardılar. SparkCat resim ve fotoğraf galerilerini Çince, Japonca, Korece, İngilizce, Çekçe, Fransızca, İtalyanca, Lehçe ve Portekizce dahil olmak üzere birçok dilde anahtar kelimeler için tarıyor. Ancak uzmanlar başka ülkelerde de kurbanların olabileceğine inanıyor.
iOS platformundaki yemek dağıtım uygulaması ComeCome, Android versiyonuyla birlikte enfekte olan uygulamalar arasında.
SparkCat nasıl çalışır?
Yeni kötü amaçlı yazılım yüklendikten sonra, belirli durumlarda kullanıcının akıllı telefon galerisindeki fotoğrafları görüntülemek için erişim talep ediyor. Daha sonra bir optik karakter tanıma (OCR) modülü kullanarak depolanan görüntülerdeki metni analiz ediyor. Yazılım ilgili anahtar kelimeleri tespit ederse, görüntüyü saldırganlara gönderiyor. Bilgisayar korsanlarının birincil hedefi kripto para cüzdanları için kurtarma ifadeleri bulmak. Bu bilgilerle kurbanın cüzdanı üzerinde tam kontrol sağlayabiliyorlar ve içeriğini çalabiliyorlar. Kurtarma cümlelerini çalmanın ötesinde, kötü amaçlı yazılım ekran görüntülerinden mesajlar ve şifreler gibi diğer kişisel bilgileri de çıkarabiliyor.
Kaspersky zararlı yazılım analisti Sergey Puzan, “Bu, AppStore’a sızan OCR tabanlı Truva atının bilinen ilk vakası. Hem AppStore hem de Google Play açısından, şu anda bu mağazalardaki uygulamaların bir tedarik zinciri saldırısı yoluyla mı yoksa çeşitli başka yöntemlerle mi ele geçirildiği belirsiz. Yemek dağıtım hizmetleri gibi bazı uygulamalar meşru görünürken, diğerleri açıkça yem olarak tasarlanmış” diyor.
Kaspersky Zararlı Yazılım Analisti Dmitry Kalinin de şunları ekledi: “SparkCat kampanyası, kendisini tehlikeli kılan bazı benzersiz özelliklere sahip. Her şeyden önce resmi uygulama mağazaları aracılığıyla yayılıyor ve belirgin bulaşma belirtileri olmadan çalışıyor. Bu Truva atının gizliliği, hem mağaza denetleyicileri hem de mobil kullanıcılar açısından keşfedilmesini zorlaştırıyor. Ayrıca talep ettiği izinler makul göründüğünden gözden kaçmaları son derece kolay. Kötü amaçlı yazılımın ulaşmaya çalıştığı galeriye erişim, kullanıcı perspektifinden uygulamanın düzgün çalışması için gerekliymiş gibi görünebiliyor. Bu izin genellikle kullanıcıların müşteri desteğiyle iletişime geçmesi gibi ilgili bağlamlarda talep ediliyor.”
Zararlı yazılımın Android sürümlerini analiz eden Kaspersky uzmanları, kodda Çince yazılmış yorumlara rastladı. Ayrıca iOS sürümünde geliştirici ana dizin adları olan “qiongwu” ve “quiwengjing” kelimelerinin bulunması, tehdidin arkasındaki tehdit aktörlerinin akıcı bir şekilde Çince konuşabildiğini gösteriyor. Bununla birlikte kampanyayı bilinen bir siber suç grubuna atfetmek için yeterli kanıt bulunmuyor.
Makine öğrenimi destekli saldırılar
Siber suçlular araçlarında yapay sinir ağlarına giderek daha fazla önem veriyor. SparkCat örneğinde, Android modülü, depolanan görüntülerdeki metni tanımak için Google ML Kit kütüphanesini kullanan bir OCR eklentisinin şifresini çözerek çalıştırıyor. Benzer bir yöntem iOS kötü amaçlı modülünde de kullanılıyor.
Kaspersky çözümleri hem Android hem de iOS kullanıcılarını SparkCat’ten koruyor. Tehdit HEUR:Trojan.IphoneOS.SparkCat.
Bu kötü amaçlı yazılım kampanyasıyla ilgili kapsamlı raporu Securelist‘te bulabilirsiniz.
Kaspersky, bu gibi zararlı yazılımın kurbanı olmamak için aşağıdaki güvenlik önlemlerini almanızı öneriyor:
- Virüslü uygulamalardan birini yüklediyseniz, hemen cihazınızdan kaldırın ve kötü amaçlı işlevselliği ortadan kaldırmak için güncelleme yayınlanana kadar kullanmayın.
- Kripto para cüzdanı kurtarma ifadeleri de dahil olmak üzere hassas bilgiler içeren ekran görüntülerini galerinizde saklamaktan kaçının. Örneğin parolaları Kaspersky Password Manager gibi özel uygulamalarda saklayabilirsiniz.
- Kaspersky Premium gibi güvenilir siber güvenlik yazılımlarıyla kötü amaçlı yazılım bulaşmalarını önleyebilirsiniz.
