Kaspersky uzmanları, AppStore ve Google Playde aktif durumda bulunan SparkCat adlı veri çalmaya odaklanan yeni bir Truva atı keşfettiğini bildirdi.
Şirketten yapılan açıklamaya göre, Kasperskynin uzmanlık merkezlerinden Tehdit Araştırmaları birimi tarafından keşfedilen SparkCat, en az Mart 2024ten bu yana aktif durumda ve makine öğrenimi teknolojisini kullanarak parolalar gibi hassas verileri tespit edebiliyor.
Bu tehdit, AppStoreda görünen optik tanıma tabanlı kötü amaçlı yazılımın bilinen ilk örneği olarak öne çıkıyor. SparkCat, resim galerilerini taramak ve kripto para cüzdanı kurtarma ifadeleri içeren ekran görüntülerini çalmak için makine öğrenimini kullanıyor.
Kötü amaçlı yazılım, virüs bulaşmış yasal uygulamalar, mesajlaşma programları, yapay zeka asistanları, yemek teslim hizmetleri, kriptoyla ilgili uygulamalar ve diğer yemler aracılığıyla yayılıyor. Bu uygulamalardan bazıları, Google Play ve AppStoredaki resmi platformlarda yer alıyor. Kaspersky, zararlı yazılıma sahip uygulamaları Google ve Apple şirketlerine bildirdi.
Kaspersky telemetri verileri, virüslü sürümlerin, diğer resmi olmayan kaynaklar aracılığıyla dağıtıldığını da gösteriyor. Google Playde bu uygulamaların, 242 bin kereden fazla kez indirildiği tespit edildi. iOS platformundaki yemek dağıtım uygulaması ComeCome, Android versiyonuyla enfekte olan uygulamalar arasında bulunuyor.
- Birleşik Arap Emirlikleri, Avrupa ve Asyayı hedef alıyor
Kaspersky uzmanları, yazılımın öncelikle Birleşik Arap Emirlikleri, Avrupa ve Asyadaki kullanıcıları hedef aldığını vurguluyor. SparkCat, resim ve fotoğraf galerilerini çince, Japonca, Korece, İngilizce, çekçe, Fransızca, İtalyanca, Lehçe ve Portekizce dahil olmak üzere birçok dilde anahtar kelimeler için tarıyor. Uzmanlar, başka ülkelerde de kurbanların olabileceğine inanıyor.
Yeni kötü amaçlı yazılım yüklendikten sonra, belirli durumlarda kullanıcının akıllı telefon galerisindeki fotoğrafları görüntülemek için erişim talep ediyor. Talebin kabul edilmesi halinde optik karakter tanıma (OCR) modülü kullanarak depolanan görüntülerdeki metni analiz ediyor. Yazılımla ilgili anahtar kelimeleri tespit ederse, görüntüyü saldırganlara gönderiyor.
Bilgisayar korsanları, kripto para cüzdanları için kurtarma ifadeleri bulmayı, birincil hedef olarak görüyor. Bu bilgilerle kurbanın cüzdanı üzerinde tam kontrol sağlayabiliyorlar ve içeriğini çalabiliyorlar. Kötü amaçlı yazılım, ekran görüntülerinden mesajlar ve şifreler gibi diğer kişisel bilgileri de çıkarabiliyor.
Siber suçlular, araçlarında yapay sinir ağlarına giderek daha fazla önem veriyor. SparkCat örneğinde, Android modülü, depolanan görüntülerdeki metni tanımak için Google ML Kit kütüphanesini kullanan bir OCR eklentisinin şifresini çözüyor. Benzer bir yöntem, iOS kötü amaçlı modülünde de kullanılıyor.
Kaspersky çözümleri, Android ve iOS kullanıcılarını SparkCatten koruyor. Tehdit, HEUR:Trojan.IphoneOS.SparkCat. ve HEUR:Trojan.AndroidOS.SparkCat. ifadeleriyle tespit ediliyor.
Kaspersky uzmanları, bunun gibi zararlı yazılımın kurbanı olmamak için virüslü uygulamanın yüklenmesi halinde cihazdan kaldırılmasını ve kötü amaçlı işlevselliği ortadan kaldıracak güncelleme yayınlanana kadar kullanılmamasını, kripto para cüzdanı kurtarma ifadeleri dahil hassas bilgiler içeren ekran görüntülerinin galeride saklanmamasını öneriyor. Kaspersky Password Manager ve Kaspersky Premium gibi siber güvenlik yazılımları, kötü amaçlı yazılımların bulaşmasını önleyebiliyor.
- Bazıları yem olarak tasarlanmış
Açıklamada görüşlerine yer verilen Kasperskynin zararlı yazılım analisti Sergey Puzan, AppStorea sızan OCR tabanlı Truva atının bilinen ilk vakasını tespit ettiklerine değinerek, Hem AppStore hem de Google Play açısından, şu anda bu mağazalardaki uygulamaların bir tedarik zinciri saldırısı yoluyla mı yoksa çeşitli başka yöntemlerle mi ele geçirildiği belirsiz. Yemek dağıtım hizmetleri gibi bazı uygulamalar meşru görünürken, diğerleri açıkça yem olarak tasarlanmış. ifadelerini kullandı.
Puzanın mevkidaşı Dmitry Kalinin de SparkCat kampanyasının, kendisini tehlikeli kılan bazı benzersiz özelliklere sahip olduğunu vurguladı.
Bu zararlı kampanyanın, öncellikle resmi uygulama mağazaları aracılığıyla yayıldığını ve belirgin bulaşma belirtileri olmadan çalıştığını aktaran Kalinin, şunları kaydetti:
Bu Truva atının gizliliği, hem mağaza denetleyicileri hem de mobil kullanıcılar açısından keşfedilmesini zorlaştırıyor. Ayrıca talep ettiği izinler makul göründüğünden, gözden kaçması son derece kolay. Kötü amaçlı yazılımın ulaşmaya çalıştığı galeriye erişim, kullanıcı perspektifinden uygulamanın düzgün çalışması için gerekliymiş gibi görünebiliyor. Bu izin, genellikle kullanıcıların müşteri desteğiyle iletişime geçmesi gibi ilgili bağlamlarda talep ediliyor.