SparkCat: Uygulama Mağazaları Aracılığıyla Yayılan Çok Platformlu Zararlı Yazılım

Kaspersky’den siber güvenlik araştırmacıları, resmi uygulama mağazaları aracılığıyla hem Android hem de iOS kullanıcılarını hedef alan ve “SparkCat” olarak adlandırılan yeni bir zararlı yazılım kampanyasını ortaya çıkardı. Bu kampanya, Google Play ve Apple App Store da dahil olmak üzere birçok platformda aktif.

Kaspersky, şöyle diyor: Bu, bir hırsızın Apple ekosistemi içinde bulunduğu ilk örnektir ve bu durum, mobil uygulamalardaki güvenlik açıkları konusunda endişeleri arttırmaktadır.

Bu kötü amaçlı yazılım, bir kötü niyetli yazılım geliştirme kitinde (SDK) gömülü olarak bulundu ve 242.000’den fazla indirme sayısına ulaşan Android ve iOS uygulamalarında keşfedildi.

SparkCat, temel olarak bir optik karakter tanıma (OCR) hırsızı olarak işlev görür ve kullanıcıların cihaz galerilerindeki resimleri tarayarak kripto cüzdan kurtarma ifadelerini çıkarır. Bu teknik, saldırganların geleneksel güvenlik önlemlerini atlatmasına ve kurbanların dijital varlıklarına yetkisiz erişim elde etmesine izin verir.

ESET’in araştırması, SparkCat’in faaliyetlerini Mart 2024’e kadar izledi. Zararlı yazılım, Google’ın ML Kit kütüphanesi ile oluşturulan bir OCR eklentisini kullanarak, resimlerden hassas metinleri tanımlar ve çıkarır.

Çalınan veriler daha sonra, işlemlerini daha da karartan, mobil uygulamalarda nadiren kullanılan Rust adlı bir programlama diliyle uygulanan bir iletişim protokolü kullanarak bir komuta-ve-kontrol (C2) sunucusuna gönderilir.

Enfekte olmuş uygulamalardan biri olan ve “ComeCome” adlı bir yemek servis uygulaması, 10.000’den fazla indirmeyle Google Play’de bulundu. Versiyon 2.0.0’da, uygulama gizlice “Spark” adlı zararlı bir yazılım içeriyordu.

Kurulduktan sonra, Spark, gizli talimatları indirmek için bir GitLab deposuna bağlandı, bu talimatları çözümler ve deşifre ederdi. Eğer bu başarısız olursa, zaten zararlı yazılımda yerleşik olan yedek ayarları kullanırdı.

Veri çalmak için, zararlı yazılım, veriyi bir hacker kontrolündeki sunucuya göndermeden önce güçlü şifreleme kullandı. AES-256, RSA anahtarları ve sıkıştırma dahil olmak üzere katmanlı şifreleme yöntemleri kullandı, bu da güvenlik uzmanlarının çalınan bilgileri takip etmesini veya çözmesini zorlaştırdı.

Enfekte olmuş uygulamalar, müşteri hizmetleri etkileşimlerinin bahanesiyle kullanıcılardan fotoğraf galerilerine erişim izni vermesini istedi. İzin verildiğinde, zararlı yazılım, değerli kurtarma ifadelerini belirlemek için İngilizce, Çince ve Fransızca dahil olmak üzere çoklu dillerde kripto ile ilgili anahtar kelimeleri aktif olarak aradı.

Güvenlik uzmanları, kullanıcıları, uygulamaları indirirken, hatta resmi kaynaklardan bile olsa, dikkatli olmaları konusunda uyarıyor ve olası tehditleri hafifletmek için düzenli olarak uygulama izinlerini denetlemeleri gerektiğini belirtiyorlar.

SparkCat’ın keşfi, güvendiğimiz dijital pazar yerlerinde, karmaşık zararlı yazılım kampanyalarının oluşturduğu sürekli riskleri vurgulamaktadır.