Özet ;
Kaspersky Tehdit Araştırmaları ekibi, en az Mart 2024’ten beri AppStore ve Google Play’de aktif olan SparkCat adlı yeni bir Truva atı keşfetti. Makine öğrenimiyle çalışan bu kötü amaçlı yazılım, kullanıcıların resim galerilerini tarayarak kripto para cüzdanlarına ait kurtarma ifadeleri içeren ekran görüntülerini çalıyor.
Yeni Kötü Amaçlı Yazılım Nasıl Yayılıyor?
SparkCat, hem virüs bulaşmış yasal uygulamalar hem de mesajlaşma programları, yapay zeka asistanları, yemek teslim hizmetleri ve kripto ile ilgili uygulamalar aracılığıyla yayılıyor. Bazı uygulamalar AppStore ve Google Play’de resmi olarak bulunsa da, Kaspersky telemetri verileri, kötü amaçlı yazılımın diğer resmi olmayan kaynaklar aracılığıyla da dağıtıldığını gösteriyor. Google Play’de virüslü sürümler 242 bin kez indirildi.
Kimler Hedef Alınıyor?
SparkCat, öncelikle Birleşik Arap Emirlikleri’ndeki kullanıcıları ve Avrupa ile Asya’daki bazı ülkeleri hedef alıyor. Tehdit analistleri, kötü amaçlı yazılımın faaliyet alanlarını incelediklerinde Çince, Japonca, Korece, İngilizce, Çekçe, Fransızca, İtalyanca, Lehçe ve Portekizce gibi dillerde tarama yaptığını belirledi. Ancak, farklı ülkelerde de kurbanların olabileceği düşünülüyor.
iOS platformundaki ComeCome yemek dağıtım uygulaması, Android versiyonuyla birlikte SparkCat bulaşan uygulamalar arasında yer alıyor.
SparkCat Nasıl Çalışıyor?
SparkCat kötü amaçlı yazılımı, yüklendikten sonra kullanıcının telefonundaki resim galerisine erişim izni istiyor. Daha sonra, bir Optik Karakter Tanıma (OCR) modülü kullanarak depolanan görüntülerdeki metni analiz ediyor. Eğer belirlenen anahtar kelimeleri tespit ederse, bu görüntüleri saldırganlara iletiyor.
Siber saldırganların öncelikli hedefi, kripto para cüzdanlarının kurtarma ifadelerini ele geçirmek. Bu ifadeler ele geçirildiğinde, cüzdanın kontrolü tamamen saldırganların eline geçiyor ve içerikteki varlıklar çalınabiliyor.
SparkCat sadece kripto para kurtarma ifadeleriyle sınırlı kalmayarak, ekran görüntülerinden şifreler ve özel mesajlar gibi hassas verileri de çalabiliyor.
Kaspersky’den Açıklamalar
Kaspersky Zararlı Yazılım Analisti Sergey Puzan, konuyla ilgili olarak şu açıklamayı yaptı:
“Bu, AppStore’a sızan OCR tabanlı bir Truva atının bilinen ilk vakası. Uygulamaların bir tedarik zinciri saldırısıyla mı yoksa farklı yöntemlerle mi ele geçirildiği henüz net değil. Bazı uygulamalar meşru görünürken, diğerleri açıkça kullanıcıları hedef almak için tasarlanmış.”
Bir diğer Kaspersky uzmanı Dmitry Kalinin, SparkCat’in özellikle resmi uygulama mağazaları üzerinden yayılmasının büyük bir risk oluşturduğunu belirterek şunları söyledi:
“SparkCat, hem AppStore hem de Google Play’de belirgin bulaşma belirtileri göstermeden çalışıyor. Ayrıca talep ettiği izinler, uygulamanın normal işleyişi için gerekliymiş gibi göründüğünden, hem mağaza denetleyicileri hem de kullanıcılar tarafından fark edilmesi zor.”
Kötü Amaçlı Yazılımın Kökeni
Kaspersky uzmanları, kötü amaçlı yazılımın Android sürümlerini analiz ederken, Çince yazılmış yorumlar ve iOS sürümünde ‘qiongwu’ ve ‘quiwengjing’ geliştirici dizin adlarına rastladı. Bu bulgular, tehdit aktörlerinin Çince konuşan kişiler olabileceğini gösteriyor. Ancak, şu ana kadar bilinen bir siber suç grubuyla doğrudan ilişkilendirilemedi.
Makine Öğrenimi Destekli Saldırılar Artıyor
Siber suçlular, yapay zeka ve makine öğrenimi tabanlı saldırılara giderek daha fazla yöneliyor. SparkCat örneğinde, Android sürümü Google ML Kit kütüphanesini kullanarak görüntülerdeki metni analiz eden bir OCR eklentisi içeriyor. Benzer bir yapı, iOS sürümünde de mevcut.
Kaspersky güvenlik çözümleri, HEUR:Trojan.IphoneOS.SparkCat. ve HEUR:Trojan.AndroidOS.SparkCat.** olarak bu tehdidi tespit ediyor.
SparkCat kötü amaçlı yazılım kampanyası hakkında detaylı rapor Securelist platformunda yayımlandı.
Kaspersky’den Güvenlik Önerileri
- Eğer virüslü bir uygulama yüklediyseniz, cihazınızdan hemen kaldırın ve kötü amaçlı işlevselliğin giderilmesi için bir güncelleme yayınlanana kadar tekrar yüklemeyin.
- Kripto cüzdanı kurtarma ifadeleri ve parolalar gibi hassas verileri ekran görüntüsü olarak saklamayın. Bunun yerine, Kaspersky Password Manager gibi özel şifre yöneticileri kullanın.
- Kaspersky Premium gibi güvenilir siber güvenlik yazılımlarını kullanarak kötü amaçlı yazılım bulaşmalarını önleyin.
Tehdit Araştırması Ekibi
Kaspersky Tehdit Araştırmaları ekibi, siber güvenlik alanında lider bir otorite olarak tehdit analizleri yaparak Kaspersky güvenlik çözümlerini güçlendirmeye devam ediyor. Uzmanlar, müşterilere ve geniş siber güvenlik topluluğuna kritik tehdit istihbaratı ve güvenlik çözümleri sunuyor.
