Kaspersky, AppStore ve Google Play’de Yeni Tehdit: SparkCat Truva Atı

Kaspersky uzmanları, AppStore ve Google Play’de aktif durumda bulunan “SparkCat” adlı veri çalmaya odaklanan yeni bir Truva atı keşfettiğini bildirdi.

Şirketten yapılan açıklamaya göre, Kaspersky’nin uzmanlık merkezlerinden “Tehdit Araştırmaları” birimi tarafından keşfedilen SparkCat, en az Mart 2024’ten bu yana aktif durumda ve makine öğrenimi teknolojisini kullanarak parolalar gibi hassas verileri tespit edebiliyor.

Bu tehdit, AppStore’da görünen optik tanıma tabanlı kötü amaçlı yazılımın bilinen ilk örneği olarak öne çıkıyor. SparkCat, resim galerilerini taramak ve kripto para cüzdanı kurtarma ifadeleri içeren ekran görüntülerini çalmak için makine öğrenimini kullanıyor.

Kötü amaçlı yazılım, virüs bulaşmış yasal uygulamalar, mesajlaşma programları, yapay zeka asistanları, yemek teslim hizmetleri, kriptoyla ilgili uygulamalar ve diğer yemler aracılığıyla yayılıyor. Bu uygulamalardan bazıları, Google Play ve AppStore’daki resmi platformlarda yer alıyor. Kaspersky, zararlı yazılıma sahip uygulamaları Google ve Apple şirketlerine bildirdi.

Kaspersky telemetri verileri, virüslü sürümlerin, diğer resmi olmayan kaynaklar aracılığıyla dağıtıldığını da gösteriyor. Google Play’de bu uygulamaların, 242 bin kereden fazla kez indirildiği tespit edildi. iOS platformundaki yemek dağıtım uygulaması “ComeCome”, Android versiyonuyla enfekte olan uygulamalar arasında bulunuyor.

Birleşik Arap Emirlikleri, Avrupa ve Asya’yı hedef alıyor

Kaspersky uzmanları, yazılımın öncelikle Birleşik Arap Emirlikleri, Avrupa ve Asya’daki kullanıcıları hedef aldığını vurguluyor. SparkCat, resim ve fotoğraf galerilerini Çince, Japonca, Korece, İngilizce, Çekçe, Fransızca, İtalyanca, Lehçe ve Portekizce dahil olmak üzere birçok dilde anahtar kelimeler için tarıyor. Uzmanlar, başka ülkelerde de kurbanların olabileceğine inanıyor.

Yeni kötü amaçlı yazılım yüklendikten sonra, belirli durumlarda kullanıcının akıllı telefon galerisindeki fotoğrafları görüntülemek için erişim talep ediyor. Talebin kabul edilmesi halinde optik karakter tanıma (OCR) modülü kullanarak depolanan görüntülerdeki metni analiz ediyor. Yazılımla ilgili anahtar kelimeleri tespit ederse, görüntüyü saldırganlara gönderiyor.

Bilgisayar korsanları, kripto para cüzdanları için kurtarma ifadeleri bulmayı, birincil hedef olarak görüyor. Bu bilgilerle kurbanın cüzdanı üzerinde tam kontrol sağlayabiliyorlar ve içeriğini çalabiliyorlar. Kötü amaçlı yazılım, ekran görüntülerinden mesajlar ve şifreler gibi diğer kişisel bilgileri de çıkarabiliyor.

Siber suçlular, araçlarında yapay sinir ağlarına giderek daha fazla önem veriyor. SparkCat örneğinde, Android modülü, depolanan görüntülerdeki metni tanımak için “Google ML Kit” kütüphanesini kullanan bir OCR eklentisinin şifresini çözüyor. Benzer bir yöntem, iOS kötü amaçlı modülünde de kullanılıyor.

Kaspersky çözümleri, Android ve iOS kullanıcılarını SparkCat’ten koruyor. Tehdit, “HEUR: Trojan.IphoneOS.SparkCat.” ve “HEUR: Trojan.AndroidOS.SparkCat.” ifadeleriyle tespit ediliyor.

Kaspersky uzmanları, bunun gibi zararlı yazılımın kurbanı olmamak için virüslü uygulamanın yüklenmesi halinde cihazdan kaldırılmasını ve kötü amaçlı işlevselliği ortadan kaldıracak güncelleme yayınlanana kadar kullanılmamasını, kripto para cüzdanı kurtarma ifadeleri dahil hassas bilgiler içeren ekran görüntülerinin galeride saklanmamasını öneriyor. “Kaspersky Password Manager” ve “Kaspersky Premium” gibi siber güvenlik yazılımları, kötü amaçlı yazılımların bulaşmasını önleyebiliyor.

” Bazıları yem olarak tasarlanmış”

Açıklamada görüşlerine yer verilen Kaspersky’nin zararlı yazılım analisti Sergey Puzan, AppStore’a sızan OCR tabanlı Truva atının bilinen ilk vakasını tespit ettiklerine değinerek, “Hem AppStore hem de Google Play açısından, şu anda bu mağazalardaki uygulamaların bir tedarik zinciri saldırısı yoluyla mı yoksa çeşitli başka yöntemlerle mi ele geçirildiği belirsiz. Yemek dağıtım hizmetleri gibi bazı uygulamalar meşru görünürken, diğerleri açıkça yem olarak tasarlanmış.” ifadelerini kullandı.

Puzan’ın mevkidaşı Dmitry Kalinin de SparkCat kampanyasının, kendisini tehlikeli kılan bazı benzersiz özelliklere sahip olduğunu vurguladı.

Bu zararlı kampanyanın, öncellikle resmi uygulama mağazaları aracılığıyla yayıldığını ve belirgin bulaşma belirtileri olmadan çalıştığını aktaran Kalinin, şunları kaydetti:

“Bu Truva atının gizliliği, hem mağaza denetleyicileri hem de mobil kullanıcılar açısından keşfedilmesini zorlaştırıyor. Ayrıca talep ettiği izinler makul göründüğünden, gözden kaçması son derece kolay. Kötü amaçlı yazılımın ulaşmaya çalıştığı galeriye erişim, kullanıcı perspektifinden uygulamanın düzgün çalışması için gerekliymiş gibi görünebiliyor. Bu izin, genellikle kullanıcıların müşteri desteğiyle iletişime geçmesi gibi ilgili bağlamlarda talep ediliyor.”