Nöbetçi Eczaneler
Yeni Tehdit: SparkCat Truva Atı
Kaspersky Tehdit Araştırmaları uzmanlık merkezi, en az Mart 2024’ten itibaren AppStore ve Google Play’de aktif olan SparkCat adında veri çalmaya yönelik yeni bir Truva atı tespit etti. Bu tehdit, AppStore’da görülen optik tanıma tabanlı kötü amaçlı yazılımların bilinen ilk örneği olarak dikkat çekiyor. SparkCat, kullanıcıların resim galerilerini tarayarak kripto para cüzdanı kurtarma ifadelerini içeren ekran görüntülerini çalmada makine öğrenimini kullanıyor. Ayrıca, görüntülerdeki parolalar gibi diğer hassas verileri de tespit etme yeteneğine sahip.
Kaspersky, tespit edilen kötü amaçlı uygulamaları derhal Google ve Apple’a bildirerek gerekli önlemlerin alınmasını sağladı.
Kötü Amaçlı Yazılımın Yayılma Yöntemleri
SparkCat, hem virüs bulaşmış yasal uygulamalar hem de mesajlaşma programları, yapay zeka asistanları, yemek dağıtım hizmetleri, kripto ile ilgili uygulamalar ve diğer tuzaklar aracılığıyla yayılmakta. Bu uygulamalardan bazıları, Google Play ve AppStore’daki resmi platformlarda mevcuttur. Kaspersky’nin telemetri verileri, virüslü sürümlerin başka resmi olmayan kaynaklar üzerinden dağıtıldığını da ortaya koyuyor. Özellikle Google Play’de bu uygulamalar 242 bin kezden fazla indirilmiş durumda.
Hedef Kitle
Kötü amaçlı yazılım, öncelikli olarak Birleşik Arap Emirlikleri’ndeki kullanıcıları hedef alırken, Avrupa ve Asya ülkelerinde de kurbanlar bulmakta. Uzmanlar, hem virüslü uygulamaların faaliyet alanlarına dair bilgiler hem de kötü amaçlı yazılımın teknik analizine dayanarak bu sonuca ulaştılar. SparkCat, resim ve fotoğraf galerilerini Çince, Japonca, Korece, İngilizce, Çekçe, Fransızca, İtalyanca, Lehçe ve Portekizce gibi birçok dilde anahtar kelimeler için tarıyor. Ancak uzmanlar, başka ülkelerde de kurbanların olabileceği konusunda uyarıyor. Özellikle iOS platformundaki yemek dağıtım uygulaması ComeCome, Android versiyonuyla birlikte enfekte olan uygulamalar arasında yer alıyor.
SparkCat’ın Çalışma Prensibi
Yeni kötü amaçlı yazılım yüklendikten sonra, belirli durumlarda kullanıcının akıllı telefon galerisine erişim talep ediyor. Ardından, bir optik karakter tanıma (OCR) modülü aracılığıyla depolanan görüntülerdeki metni analiz ediyor. Yazılım, ilgili anahtar kelimeleri tespit ettiğinde, görüntüyü saldırganlara gönderiyor. Bilgisayar korsanlarının birincil hedefi, kripto para cüzdanları için kurtarma ifadelerini bulmak. Bu bilgilerle, kurbanın cüzdanı üzerinde tam kontrol sağlayabiliyor ve içeriğini çalabiliyorlar. Kurtarma cümlelerini çalmanın ötesinde, kötü amaçlı yazılım ekran görüntülerinden mesajlar ve şifreler gibi diğer kişisel bilgileri de çıkarabiliyor.
Kaspersky’nin zararlı yazılım analisti Sergey Puzan, “Bu, AppStore’a sızan OCR tabanlı Truva atının bilinen ilk vakası. Hem AppStore hem de Google Play açısından, şu anda bu mağazalardaki uygulamaların bir tedarik zinciri saldırısı yoluyla mı yoksa çeşitli başka yöntemlerle mi ele geçirildiği belirsiz. Yemek dağıtım hizmetleri gibi bazı uygulamalar meşru görünürken, diğerleri açıkça yem olarak tasarlanmış.” diyerek durumu özetliyor.
Kaspersky Zararlı Yazılım Analisti Dmitry Kalinin ise, “SparkCat kampanyası, kendisini tehlikeli kılan bazı benzersiz özelliklere sahip. Hem resmi uygulama mağazaları aracılığıyla yayılıyor hem de belirgin bulaşma belirtileri olmadan çalışıyor. Bu Truva atının gizliliği, hem mağaza denetleyicileri hem de mobil kullanıcılar açısından keşfedilmesini zorlaştırıyor. Ayrıca talep ettiği izinler makul göründüğünden gözden kaçmaları son derece kolay. Kötü amaçlı yazılımın ulaşmaya çalıştığı galeriye erişim, kullanıcı perspektifinden uygulamanın düzgün çalışması için gerekliymiş gibi görünebiliyor. Bu izin genellikle kullanıcıların müşteri desteğiyle iletişime geçmesi gibi ilgili bağlamlarda talep ediliyor.” şeklinde eklemelerde bulunuyor.
Kaspersky uzmanları, Android sürümlerini analiz ederken kodda Çince yazılmış yorumlara rastladı. Ayrıca, iOS sürümünde geliştirici ana dizin adları olan “qiongwu” ve “quiwengjing” kelimelerinin bulunması, tehdidin arkasındaki aktörlerin akıcı bir şekilde Çince konuşabildiğini gösteriyor. Bununla birlikte, kampanyayı bilinen bir siber suç grubuna atfetmek için yeterli kanıt bulunmuyor.
Makine Öğrenimi Destekli Saldırılar
Siber suçlular, araçlarında yapay sinir ağlarına giderek daha fazla önem vermekte. SparkCat örneğinde, Android modülü, depolanan görüntülerdeki metni tanımak için Google ML Kit kütüphanesini kullanan bir OCR eklentisinin şifresini çözerek çalıştırılıyor. Benzer bir yöntem, iOS kötü amaçlı modülünde de kullanılıyor. Kaspersky çözümleri, hem Android hem de iOS kullanıcılarını SparkCat’ten korumaktadır. Tehdit, HEUR:Trojan.IphoneOS.SparkCat.* ve HEUR:Trojan.AndroidOS.SparkCat.* olarak tespit edilmektedir.
Bu kötü amaçlı yazılım kampanyasıyla ilgili kapsamlı raporu Securelist platformunda bulabilirsiniz. Kaspersky, benzer zararlı yazılımların kurbanı olmamak için aşağıdaki güvenlik önlemlerini almanızı öneriyor:
- Virüslü uygulamalardan birini yüklediyseniz, hemen cihazınızdan kaldırın ve kötü amaçlı işlevselliği ortadan kaldırmak için güncelleme yayınlanana kadar kullanmayın.
- Kripto para cüzdanı kurtarma ifadeleri de dahil olmak üzere hassas bilgiler içeren ekran görüntülerini galerinizde saklamaktan kaçının. Örneğin, parolaları Kaspersky Password Manager gibi özel uygulamalarda saklayabilirsiniz.
- Kaspersky Premium gibi güvenilir siber güvenlik yazılımları ile kötü amaçlı yazılım bulaşmalarını önleyebilirsiniz.
Tehdit Araştırma Ekibi
Tehdit Araştırma ekibi, siber tehditlere karşı koruma konusunda lider bir otoritedir. Uzmanlarımız, hem tehdit analizi hem de teknoloji oluşturma süreçlerine aktif olarak katılarak Kaspersky’nin siber güvenlik çözümlerinin derinlemesine bilgi sahibi ve olağanüstü güçlü olmasını sağlar, böylece müşterilerimize ve daha geniş bir topluluğa kritik tehdit istihbaratı ve sağlam güvenlik sunar.
Kaynak: (BYZHA) Beyaz Haber Ajansı