Kaspersky, kripto varlık hırsızlığı amacıyla geliştirilen SparkCat Truva Atı’nın (Trojan) yeni bir varyantını tespit etti. Söz konusu kötü amaçlı yazılım, ilk kez keşfedilip her iki platformdan da kaldırılmasından bir yıl sonra yeniden App Store ve Google Play’de ortaya çıktı. Meşru görünümlü uygulamaların içine gizlenen Truva Atı, kullanıcıların fotoğraf galerilerini tarayarak kripto para cüzdanı kurtarma ifadelerini ele geçirmeyi hedefliyor.
SparkCat’in bu yeni versiyonu, kurumsal iletişim için tasarlanmış mesajlaşma uygulamaları ile bir yemek teslimat uygulaması gibi görünürde güvenilir uygulamalar üzerinden yayılıyor. Kaspersky uzmanları, App Store’da iki, Google Play’de ise bir enfekte uygulama tespit etti; söz konusu uygulamalardaki zararlı kodlar daha sonra kaldırıldı. Kaspersky telemetri verileri, SparkCat bulaşmış uygulamaların üçüncü taraf kaynaklar üzerinden de dağıtıldığını ortaya koyuyor. Bu dağıtım kanallarından bazıları, iPhone üzerinden erişildiğinde App Store arayüzünü taklit eden web sayfalarından oluşuyor.
Android için geliştirilen güncel varyant, ele geçirilen cihazlardaki görsel galerileri tarayarak Japonca, Korece ve Çince anahtar kelimeler içeren ekran görüntülerini hedef alıyor. Bu durum, kampanyanın ağırlıklı olarak Asya’daki kullanıcıların kripto varlıklarını hedeflediğine işaret ediyor. iOS versiyonu ise farklı bir yaklaşım izleyerek İngilizce yazılmış kripto cüzdan kurtarma ifadelerini tarıyor. Bu da iOS varyantının coğrafi sınırlardan bağımsız olarak daha geniş bir kullanıcı kitlesini etkileyebileceği anlamına geliyor.
SparkCat’in Android sürümünün güncellenmiş versiyonu, önceki sürümlere kıyasla daha gelişmiş gizleme (obfuscation) katmanları içeriyor. Kod sanallaştırma ve platformlar arası programlama dillerinin kullanımı gibi mobil zararlı yazılımlarda nadir görülen teknikler dikkat çekiyor.
Kaspersky, tespit edilen zararlı uygulamaları Google ve Apple’a bildirdi.
Kaspersky Siber Güvenlik Uzmanı Sergey Puzan konuyla ilgili olarak şunları söyledi: “SparkCat’in güncellenmiş varyantı, tıpkı ilk versiyonunda olduğu gibi belirli senaryolarda kullanıcının fotoğraf galerisine erişim izni talep ediyor. Zararlı yazılım, optik karakter tanıma (OCR) modülü aracılığıyla görsellerdeki metinleri analiz ediyor. Eğer ilgili anahtar kelimeler tespit edilirse, görseller saldırganlara gönderiliyor. Mevcut örnek ile önceki sürüm arasındaki benzerlikler, bu yeni varyantın aynı geliştiriciler tarafından hazırlandığını düşündürüyor. Bu kampanya, mobil cihazları geniş kapsamlı siber tehditlere karşı korumak için güvenlik çözümlerinin önemini bir kez daha ortaya koyuyor.”
Kaspersky Siber Güvenlik Uzmanı Dmitry Kalinin ise şu değerlendirmede bulundu: “SparkCat zararlı yazılımı, sürekli evrilen bir mobil tehdit olarak öne çıkıyor. Arkasındaki tehdit aktörleri, analizden kaçınma tekniklerinin karmaşıklığını sürekli artırarak resmi uygulama mağazalarının inceleme süreçlerini aşmayı başarıyor. Ayrıca kod sanallaştırma ve platformlar arası programlama dili kullanımı gibi yöntemler, mobil zararlı yazılımlarda oldukça nadir görülüyor. Bu durum, saldırganların yüksek teknik yetkinliğe sahip olduğunu gösteriyor.”
Kaspersky, bu tür tehditlerden korunmak için şu önlemleri öneriyor:
- Akıllı telefonlarınızı siber saldırılara karşı koruyacak güvenilir bir güvenlik yazılımı kullanın. Örneğin Kaspersky for Mobile, mobil cihazlardaki verilerin korunmasına yardımcı olur. Android için Kaspersky, zararlı yazılımların yüklenmesini engellerken; iOS için Kaspersky, Apple işletim sisteminin mimari yapısı gereği saldırganların komuta sunucularına bağlantı girişimlerini tespit ederek kullanıcıyı uyarır.
- Kripto cüzdanı kurtarma ifadeleri gibi hassas bilgileri içeren ekran görüntülerini cihaz galerinizde saklamaktan kaçının. Bu tür kritik verileri ve önemli belgeleri, Kaspersky Password Manager gibi özel uygulamalarda depolayın.
- Uygulamaları resmi mağazalardan indirirken dahi dikkatli olun; bu platformlar her zaman tamamen risksiz değildir.
Kaynak: (BYZHA) Beyaz Haber Ajansı
