Kaspersky araştırmacıları, kripto para hırsızlığı için tasarlanmış SparkCat Truva Atı’nın gelişmiş bir versiyonunu tespit etti. Bu kötü amaçlı yazılım, resmi uygulama mağazalarının güvenlik filtrelerini aşarak App Store ve Google Play’de yeniden ortaya çıktı. Meşru görünümlü uygulamaların içine gizlenen zararlı kod, kullanıcıların fotoğraf galerilerini tarayarak kripto cüzdan kurtarma ifadelerini çalmayı hedefliyor.
Tehdidin Yeniden Ortaya Çıkışı ve Yayılma Yöntemleri
SparkCat’in bu güncellenmiş varyantı, ilk keşfedilip platformlardan kaldırılmasından bir yıl sonra yeniden dijital mağazalarda belirdi. Siber güvenlik uzmanları, kötü amaçlı yazılımın kurumsal mesajlaşma ve yemek teslimat uygulamaları gibi güvenilir görünen yazılımların arkasına saklandığını açıkladı. Kaspersky ekibi, App Store’da iki, Google Play’de ise bir enfekte uygulama tespit etti ve bu uygulamalardaki zararlı kodlar daha sonra kaldırıldı.
Tehdit yalnızca resmi mağazalarla sınırlı kalmadı. Kaspersky’nin telemetri verileri, SparkCat bulaşmış uygulamaların üçüncü taraf dağıtım kanalları üzerinden de yayıldığını gösterdi. Bu kanallardan bazıları, iPhone kullanıcılarını hedef alarak App Store arayüzünü taklit eden sahte web sayfalarından oluşuyor. Bu durum, saldırganların kullanıcıları kandırmak için çok yönlü bir strateji izlediğini ortaya koyuyor.
Android ve iOS Varyantlarındaki Hedefleme Farklılıkları
Android için geliştirilen güncel SparkCat versiyonu, ele geçirilen cihazlardaki görsel galerileri tararken Japonca, Korece ve Çince anahtar kelimeler içeren ekran görüntülerini arıyor. Bu dil odaklı hedefleme, kampanyanın öncelikle Asya bölgesindeki kripto para kullanıcılarını hedef aldığına işaret ediyor.
iOS sürümü ise farklı bir yaklaşım benimseyerek İngilizce yazılmış kripto cüzdan kurtarma ifadelerini tarıyor. Bu metodoloji, iOS varyantının coğrafi sınırlardan bağımsız olarak daha geniş bir küresel kullanıcı kitlesini etkileyebileceği anlamına geliyor. Her iki varyant da optik karakter tanıma (OCR) teknolojisini kullanarak görsellerdeki metinleri analiz ediyor ve ilgili anahtar kelimeler bulunduğunda bu görselleri saldırganlara iletiyor.
Gelişmiş Teknik Özellikler ve Uzman Değerlendirmeleri
SparkCat’in Android sürümünün bu güncellenmiş versiyonu, önceki sürümlere kıyasla daha karmaşık gizleme katmanları içeriyor. Kötü amaçlı yazılım, kod sanallaştırma ve platformlar arası programlama dillerinin kullanımı gibi mobil zararlı yazılımlarda nadiren görülen teknikler barındırıyor. Bu gelişmiş özellikler, saldırganların yüksek teknik yetkinliğe sahip olduğunu ve analizden kaçınma yöntemlerini sürekli geliştirdiğini gösteriyor.
Kaspersky Siber Güvenlik Uzmanı Sergey Puzan, konuyla ilgili yaptığı açıklamada şu ifadeleri kullandı:
“Mevcut örnek ile önceki sürüm arasındaki benzerlikler, bu yeni varyantın aynı geliştiriciler tarafından hazırlandığını düşündürüyor. Bu kampanya, mobil cihazları geniş kapsamlı siber tehditlere karşı korumak için güvenlik çözümlerinin önemini bir kez daha ortaya koyuyor.”
Bir diğer Kaspersky uzmanı Dmitry Kalinin ise değerlendirmesinde şunları kaydetti:
“SparkCat zararlı yazılımı, sürekli evrilen bir mobil tehdit olarak öne çıkıyor. Arkasındaki tehdit aktörleri, analizden kaçınma tekniklerinin karmaşıklığını sürekli artırarak resmi uygulama mağazalarının inceleme süreçlerini aşmayı başarıyor.”
Korunma Önlemleri ve Alınması Gereken Tedbirler
Kaspersky, kullanıcıları bu tür tehditlerden korumak için bir dizi önlem öneriyor. İlk olarak, akıllı telefonlarda güvenilir bir güvenlik yazılımı kullanılması tavsiye ediliyor. Android cihazlar için Kaspersky çözümleri zararlı yazılımların yüklenmesini engellerken, iOS için Apple’ın işletim sistemi mimarisi nedeniyle saldırganların komuta sunucularına bağlantı girişimleri tespit edilerek kullanıcılar uyarılıyor.
İkinci önemli tavsiye, kripto cüzdanı kurtarma ifadeleri gibi hassas bilgileri içeren ekran görüntülerinin cihaz galerilerinde saklanmaması yönünde. Bu tür kritik verilerin, Kaspersky Password Manager gibi özel uygulamalarda depolanması öneriliyor. Son olarak, kullanıcıların uygulamaları resmi mağazalardan indirirken dahi dikkatli olmaları gerektiği vurgulanıyor, çünkü bu platformların her zaman tamamen risksiz olmadığı belirtiliyor.
Kaspersky, tespit edilen zararlı uygulamaları Google ve Apple’a bildirdiğini açıkladı. Bu gelişme, resmi uygulama mağazalarındaki güvenlik önlemlerinin sürekli olarak test edildiği ve kötü amaçlı yazılım geliştiricilerinin bu önlemleri aşmak için yeni yöntemler bulmaya çalıştığı gerçeğini bir kez daha gözler önüne seriyor.
Kaynak: Beyaz Haber Ajansı