Yeni SparkKitty kötü amaçlı yazılımı, Apple ve Google uygulamaları aracılığıyla 5.000'den fazla kripto kullanıcısını vurdu

Yeni bir mobil casus yazılım türü, Güneydoğu Asya ve Çin'deki kripto kullanıcılarını hedeflemek için hem Apple hem de Google'ın uygulama inceleme sistemlerindeki zayıflıklardan yararlanıyor.

SparkKitty olarak adlandırılan kötü amaçlı yazılım, cep telefonu galerilerinde depolanan cüzdan tohum ifadelerinin ekran görüntülerini çalmaya odaklanıyor.

Kaspersky'nin siber güvenlik araştırmacıları, casus yazılımın kripto portföy izleyicileri ve TikTok gibi popüler uygulamaların değiştirilmiş sürümleri de dahil olmak üzere görünüşte meşru uygulamalara yerleştirildiğini ortaya çıkardı.

Kökenini SparkCat olarak bilinen daha önceki bir varyanta kadar takip eden kötü amaçlı yazılım kampanyası, en az Nisan 2024'ten beri aktif.

Bazı uygulama örnekleri daha da eskiye dayanıyor.

SparkKitty yüklendikten sonra yanıltıcı izinler ve optik karakter tanıma (OCR) teknolojisini kullanarak kurtarma ifadelerini cihazlarında saklayan herkes için ciddi etkileri olan bir saldırı vektörü olan tohum ifadeleri gibi hassas metinler içeren görüntüleri tanımlar ve iletir.

Virüslü kripto uygulamaları mağaza güvenliğini atladı

Kaspersky'nin analizi, SparkKitty'nin resmi Google Play Store'a ve Apple'ın App Store'una başarıyla sızdığını gösteriyor.

Soex Wallet Tracker ve Coin Wallet Pro dahil olmak üzere etkilenen uygulamalar, kendilerini gerçek zamanlı izleme, portföy yönetimi ve çok zincirli cüzdan hizmetleri sunan kripto araçları olarak gizledi.

Bir örnekte, Soex Wallet Tracker listeden çıkarılmadan önce 5.000'den fazla kez indirildi.

Kendisini güvenli bir dijital cüzdan olarak konumlandıran Coin Wallet Pro'nun sosyal medya reklamları ve Telegram kanalları aracılığıyla ilgi gördüğü bildiriliyor.

Bu kanallar, kullanıcıları normal uygulama inceleme mekanizmalarını atlayarak uygulamayı indirmeye ve ek geliştirici profilleri yüklemeye teşvik etti.

Bu ekstra adım, kötü amaçlı yazılımın genellikle fotoğraf galerilerine ve sistem verilerine erişimi kısıtlayan standart sanal alan korumalarının dışında çalışmasına izin verdi.

SparkKitty, destek sohbetleri gibi belirli etkinlikler sırasında kullanıcılara sorarak fotoğraf depolamaya erişim sağlayabilir.

Bir kez verildikten sonra, ekran görüntülerinde görünen herhangi bir tohum ifadesini çıkarmak için OCR'yi kullandı.

Bu ifadeler, kripto cüzdanına erişim ve kurtarma için çok önemlidir ve bunlar üzerindeki kontrolü kaybetmek, fonların tamamen kaybedilmesine neden olabilir.

SparkKitty kötü amaçlı yazılımı görsel veri hırsızlığını hedefliyor

Cüzdan uygulamalarına veya özel anahtarlara doğrudan erişim isteyen geleneksel kötü amaçlı yazılımların aksine, SparkKitty'nin resim galerilerine odaklanması, kullanıcılar arasında görsel veri depolama alışkanlıklarından yararlanmaya doğru bir kaymaya işaret ediyor.

Birçok kişi, özellikle yeni kripto kullanıcıları, kolaylık sağlamak için cüzdan tohum ifadelerinin ekran görüntülerini kaydeder.

Bu uygulama, çoğu cüzdan sağlayıcısı tarafından önerilmese de, yaygın olmaya devam ediyor.

SparkKitty, arka planda binlerce görüntüyü tarayarak ve yaygın tohum ifade biçimleriyle eşleşen kelime dizilerini arayarak bu davranıştan yararlanır.

Tanımlandıktan sonra, bunlar saldırganlar tarafından kontrol edilen uzak sunuculara geri gönderilir.

Kötü amaçlı yazılımın görsel tanıma modeli, MetaMask, Trust Wallet ve Phantom gibi popüler cüzdanlar tarafından kullanılan tohum ifadesi uzunlukları ve biçimleri için optimize edilmiş görünüyor.

Kaspersky, enfeksiyonların büyük bir kısmı Güneydoğu Asya ve Çin'de yoğunlaşmış gibi görünse de, sosyal medya ve uygulama mağazaları aracılığıyla uygulama dağıtım yönteminin onu oldukça ölçeklenebilir hale getirdiğini belirtti.

Benzer saldırılar, kod tabanında minimum değişiklikle diğer bölgelere veya kullanıcı tabanlarına kolayca yönlendirilebilir.

Apple ve Google uygulamaları kaldırıyor, sistemi inceleme altında

Kaspersky'nin uyarısının ardından Apple ve Google, işaretlenen uygulamaları platformlarından kaldırdı.

Ancak, bu uygulamaların ilk incelemeleri nasıl geçtiğine dair sorular devam ediyor.

Uygulama korumalı alanını atlamak için geliştirici profillerinin kullanılması, özellikle kullanıcıların geniş erişim vermeye ikna olduğu durumlarda, mobil işletim sistemi izin yapılarında bir güvenlik açığı olduğunu gösterir.

Kaspersky, kampanyanın daha az düzenlenmiş uygulama pazarlarında veya doğrudan APK indirmeleri yoluyla hala aktif olabileceği konusunda uyardı.

Güvenlik ekipleri, özellikle yalnızca kripto özellikleri veya merkezi olmayan finans (DeFi) araçlarıyla ilişkili olanlar olmak üzere yeni uygulamalardaki benzer davranış kalıplarını izliyor.

Bir önlem olarak, kullanıcılardan tohum ifadelerini fotoğraf galerilerine kaydetmemeleri ve bilinmeyen profiller yüklemekten veya güvenilmeyen uygulamalara galeri erişimi vermekten kaçınmaları isteniyor.

Twitter ve Telegram'daki birkaç kripto etkileyicisi ve güvenlik hesabı da olayla ilgili uyarılar yayınladı.

Kaspersky ekibi, SparkKitty'nin ağ altyapısını izlemeye devam ediyor ve güvenlik ihlali göstergelerini ilgili siber yetkililerle paylaştı.