Kaspersky’den Yeni Tehdit: SparkCat
Kaspersky Tehdit Araştırmaları uzmanlık merkezi, en az Mart 2024’ten bu yana AppStore ve Google Play’de aktif olan SparkCat adlı yeni bir veri çalmaya yönelik Truva atını keşfetti. Bu tehdit, optik karakter tanıma (OCR) tabanlı kötü amaçlı yazılımların AppStore’daki bilinen ilk örneği olarak öne çıkıyor. SparkCat, resim galerilerini taramak ve kripto para cüzdanı kurtarma ifadelerini içeren ekran görüntülerini çalmak için makine öğrenimini kullanıyor. Bunun yanı sıra, görüntülerdeki parolalar gibi diğer hassas verileri de tespit edebiliyor.
Kaspersky, tespit ettiği bu kötü amaçlı uygulamaları hem Google hem de Apple’a bildirdi.
Yeni Kötü Amaçlı Yazılımın Yayılma Yöntemleri
SparkCat, virüs bulaşmış yasal uygulamalar ve çeşitli mesajlaşma programları, yapay zeka asistanları, yemek teslimat hizmetleri, kripto para ile ilgili uygulamalar gibi birçok yem aracılığıyla yayılmaktadır. Bu uygulamalardan bazıları, Google Play ve AppStore’daki resmi platformlarda mevcuttur. Kaspersky’nin telemetri verileri, virüslü sürümlerin diğer resmi olmayan kaynaklar aracılığıyla dağıtıldığını da göstermektedir. Özellikle Google Play’de bu uygulamalar, 242 bin kez indirilmiştir.
Hedef Kitle
Kötü amaçlı yazılım, öncelikle Birleşik Arap Emirlikleri’ndeki kullanıcıları ve Avrupa ile Asya’daki diğer ülkeleri hedef alıyor. Uzmanlar, hem virüslü uygulamaların faaliyet alanlarına dair bilgiler hem de kötü amaçlı yazılımın teknik analizine dayanarak bu sonuca ulaşmış durumda. SparkCat, resim ve fotoğraf galerilerini Çince, Japonca, Korece, İngilizce, Çekçe, Fransızca, İtalyanca, Lehçe ve Portekizce gibi birçok dilde anahtar kelimeler için tarıyor. Ancak uzmanlar, başka ülkelerde de kurbanların olabileceğini düşünüyor. iOS platformundaki yemek dağıtım uygulaması ComeCome, Android versiyonu ile birlikte enfekte olan uygulamalar arasında yer alıyor.
SparkCat’ın Çalışma Prensibi
Bu yeni kötü amaçlı yazılım yüklendikten sonra, belirli durumlarda kullanıcının akıllı telefon galerisindeki fotoğraflara erişim talep ediyor. Daha sonra, bir optik karakter tanıma (OCR) modülü kullanarak depolanan görüntülerdeki metni analiz ediyor. Yazılım, ilgili anahtar kelimeleri tespit ettiğinde, görüntüyü saldırganlara gönderiyor. Bilgisayar korsanlarının birincil hedefi, kripto para cüzdanları için kurtarma ifadelerini bulmak. Bu bilgilerle, kurbanın cüzdanı üzerinde tam kontrol sağlayarak içeriğini çalabiliyorlar. Kurtarma ifadelerini çalmanın ötesinde, kötü amaçlı yazılım, ekran görüntülerinden mesajlar ve şifreler gibi diğer kişisel bilgileri de çıkarabiliyor.
Kaspersky zararlı yazılım analisti Sergey Puzan, “Bu, AppStore’a sızan OCR tabanlı Truva atının bilinen ilk vakasıdır. Hem AppStore hem de Google Play açısından, bu mağazalardaki uygulamaların nasıl ele geçirildiği belirsiz. Bazı uygulamalar meşru görünürken, diğerleri açıkça yem olarak tasarlanmış,” diyor.
Kaspersky Zararlı Yazılım Analisti Dmitry Kalinin ise şunları ekliyor: “SparkCat kampanyası, kendisini tehlikeli kılan bazı benzersiz özelliklere sahip. Resmi uygulama mağazaları aracılığıyla yayılıyor ve belirgin bulaşma belirtileri olmadan çalışıyor. Bu Truva atının gizliliği, hem mağaza denetleyicileri hem de mobil kullanıcılar açısından keşfedilmesini zorlaştırıyor. Talep edilen izinler makul göründüğünden gözden kaçmaları son derece kolaydır. Uygulamanın galeriden erişim istemesi, kullanıcılar açısından uygulamanın düzgün çalışması için gerekliymiş gibi görünebilir. Bu izin genellikle kullanıcıların müşteri desteğiyle iletişime geçmesi gibi ilgili bağlamlarda talep ediliyor.”
Kaspersky uzmanları, Android sürümlerini analiz ederken kodda Çince yazılmış yorumlar buldular. Ayrıca, iOS sürümünde geliştirici ana dizin adları olan “qiongwu” ve “quiwengjing” kelimeleri, tehdidin arkasındaki aktörlerin akıcı bir şekilde Çince konuşabildiğini gösteriyor. Ancak kampanyayı bilinen bir siber suç grubuna atfetmek için yeterli kanıt bulunmamakta.
Makine Öğrenimi Destekli Saldırılar
Siber suçlular, araçlarında yapay sinir ağlarına giderek daha fazla önem vermeye başladı. SparkCat örneğinde, Android modülü, depolanan görüntülerdeki metni tanımak için Google ML Kit kütüphanesini kullanan bir OCR eklentisinin şifresini çözerek çalışıyor. Benzer bir yöntem, iOS kötü amaçlı modülünde de kullanılmakta.
Kaspersky çözümleri, hem Android hem de iOS kullanıcılarını SparkCat’ten koruyor. Tehdit, HEUR:Trojan.IphoneOS.SparkCat.* ve HEUR:Trojan.AndroidOS.SparkCat.* olarak tespit edilmektedir. Bu kötü amaçlı yazılım kampanyasıyla ilgili kapsamlı raporu Securelist‘te bulabilirsiniz.
Güvenlik Önlemleri
Kaspersky, bu tür kötü amaçlı yazılımların kurbanı olmamak için aşağıdaki güvenlik önlemlerini almanızı öneriyor:
- Virüslü uygulamalardan birini yüklediyseniz, hemen cihazınızdan kaldırın ve kötü amaçlı işlevselliği ortadan kaldırmak için güncelleme yayınlanana kadar kullanmayın.
- Kripto para cüzdanı kurtarma ifadeleri de dahil olmak üzere hassas bilgiler içeren ekran görüntülerini galerinizde saklamaktan kaçının. Örneğin, parolaları Kaspersky Password Manager gibi özel uygulamalarda saklayabilirsiniz.
- Kaspersky Premium gibi güvenilir siber güvenlik yazılımlarıyla kötü amaçlı yazılım bulaşmalarını önleyebilirsiniz.
Tehdit Araştırmaları Ekibi
Tehdit Araştırmaları ekibi, siber tehditlere karşı koruma konusunda lider bir otoritedir. Tehdit araştırması uzmanlarımız, hem tehdit analizi hem de teknoloji geliştirme süreçlerine aktif olarak katılarak Kaspersky’nin siber güvenlik çözümlerinin derinlemesine bilgi sahibi ve olağanüstü güçlü olmasını sağlamaktadır. Müşterilerimize ve daha geniş bir topluluğa kritik tehdit istihbaratı ve sağlam güvenlik sunmaktadır.
Kaynak: (BYZHA) Beyaz Haber Ajansı
