Sorunlu bir gelişmede, Kaspersky'deki siber güvenlik araştırmacıları, hem iOS hem de Android cihazlarını hedefleyen sofistike bir kötü amaçlı yazılım kampanyası ortaya çıkardılar. SparkCat olarak bilinen bu kötü amaçlı yazılım, kullanıcıların fotoğraf galerilerini taramak ve hassas kripto para birimi cüzdan bilgilerini, özellikle kurtarma ifadelerini ekran görüntülerinden çıkarmak için Optik Karakter Tanıma (OCR) teknolojisini kullanır. Bu kötü amaçlı yazılımları barındıran kötü amaçlı uygulamalar hem Google Play hem de Apple'ın App Store'da keşfedildi ve Apple'ın ekosisteminde böyle bir saldırının bilinen örneğini işaretledi.
Sparkcat kötü amaçlı yazılım ilk olarak 2024'ün sonlarında tanımlandı, ancak kökenleri aynı yılın Mart ayına kadar uzanıyor. Enfekte olmuş uygulamalardaki destek özellikleriyle etkileşime girdiklerinde kullanıcıların fotoğraf galerilerine erişim isteyerek çalışır. İzin aldıktan sonra, kötü amaçlı yazılım, kripto para birimi cüzdanlarıyla ilişkili kurtarma ifadeleri gibi tanınabilir anahtar kelimeler için görüntüleri taramak için OCR teknolojisini - özellikle Google'ın ML Kit Kütüphanesi - kullanır. Kötü amaçlı yazılım bir kurtarma ifadesi içeren bir görüntü algılarsa, saldırganların kurbanın kripto cüzdanını tehlikeye atmak için çıkarılan bilgileri kullanabileceği bir komut ve kontrol sunucusuna geri gönderir.
Devamını oku:Apple, özel verilerinizi çalabilecek kötü amaçlı yazılmış uygulamalar çeker
Kaspersky'nin AraştırmasıaçıklarKötü amaçlı yazılımların en az 18 Android uygulamasına ve bazıları yüz binlerce kez indirilen 10 iOS uygulamasına gömüldüğünü. Örneğin, bir gıda dağıtım hizmeti olan COMECOME gibi uygulamaların her iki platformda da kötü amaçlı yazılımları barındırdığı bulundu. Wetk ve anygpt, iki AI tabanlı sohbet uygulaması da enfekte oldu. Google, etkilenen Android uygulamalarının çoğunu mağazasından kaldırmak için harekete geçmesine rağmen, bazıları hala mevcut ve risk oluşturmaya devam ediyor. İOS uygulamalarındaki durum benzerdir, Kaspersky bazılarının App Store'da kaldığını bildirir.
Sparkcat'ın gerçek kökeni hala belirsiz. Kaspersky, kötü amaçlı yazılımın geliştiriciler tarafından kasıtlı olarak tanıtıldığını veya bir tedarik zinciri saldırısının sonucu olup olmadığını doğrulamamıştır. Bununla birlikte, komut ve kontrol sunucuları ile etkileşim için pas tabanlı bir iletişim protokolünün kullanılması dikkat çekicidir. Mobil uygulamalarda yaygın olarak görülmeyen bu teknik, kampanyanın arkasındaki saldırganların karmaşıklığı hakkında daha fazla bilgi sağlayabilir. Özellikle, kötü amaçlı yazılım öncelikle Avrupa ve Asya'daki kullanıcıları hedefliyor gibi görünüyor, bu da tehdit oyuncunun Çince akıcı olabileceğini düşündürmektedir.
Sparkcat'ı özellikle tehlikeli kılan şey, inceliktir. Uygulamalarda belirgin bir kötü niyetli implant yoktur ve kötü amaçlı yazılım tarafından talep edilen izinler genellikle zararsız görünür, bu da kullanıcıların tehdidi tanımasını zorlaştırır. Kötü amaçlı yazılımların, kripto para birimi kurtarma cümleleri gibi hassas görüntüler içerebilen kullanıcıların fotoğraf galerilerini taramak için OCR kullanımı, finansal kayıp riskini önemli ölçüde artırır. Ayrıca, kötü amaçlı yazılımların gizli çalışması, kullanıcıların kripto cüzdanları boşalana kadar ihlalden habersiz kalabileceği anlamına gelir.
Bu olay, uygun uygulama veterinerinin önemini vurgulamaktadır. Bu kötü amaçlı uygulamalar resmi uygulama mağazalarında mevcut olsa da, hala güvenlik önlemlerini atlamayı ve önemli sayıda kullanıcıyı etkilemeyi başardılar. Kaspersky'nin bulguları, özellikle kişisel dosyalara veya resimlere erişim isteyen uygulamalarla uğraşırken, uygulama izinleri verirken kullanıcıların dikkatli olmaları gerektiğini hatırlatır. Ayrıca, kullanıcıların ekran görüntüleri gibi kolay erişilebilir formatlardan ziyade şifreli not depolama veya şifre yöneticilerinde kripto para birimi cüzdan kurtarma cümleleri gibi hassas bilgileri depolamaları önerilir.
Hem Apple hem de Google henüz SparkCAT kötü amaçlı yazılım hakkında resmi açıklamalar sağlamamış olsa da, saldırının gelişmiş kötü amaçlı yazılım kampanyalarının yarattığı artan tehdidi vurguladığı açıktır. Kullanıcıların uyanık kalması, uygulama izinlerini düzenli olarak gözden geçirmesi ve kişisel verilerini korumak için potansiyel olarak tehlikeye atılan uygulamaları kaldırması önemlidir.