Bu tehdit, AppStore’da görünen optik tanıma tabanlı kötü
amaçlı yazılımın bilinen ilk örneği olarak dikkat çekiyor.
SparkCat, resim galerilerini taramak ve kripto para cüzdanı
kurtarma ifadeleri içeren ekran görüntülerini çalmak için makine
öğrenimini kullanıyor. Ayrıca görüntülerdeki parolalar gibi diğer
hassas verileri de bulup çıkarabiliyor.
Kaspersky, tespit ettiği kötü amaçlı uygulamaları Google ve
Apple‘a bildirdi.
Yeni kötü amaçlı yazılım nasıl yayılıyor
Kötü amaçlı yazılım, hem virüs bulaşmış yasal uygulamalar hem de
mesajlaşma programları, yapay zeka asistanları, yemek teslim
hizmetleri, kripto ile ilgili uygulamalar ve diğer yemler
aracılığıyla yayılıyor. Bu uygulamalardan bazıları Google Play ve
AppStore’daki resmi platformlarda mevcut. Kaspersky telemetri
verileri, virüslü sürümlerin diğer resmi olmayan kaynaklar
aracılığıyla dağıtıldığını da gösteriyor. Google Play’de bu
uygulamalar 242 bin kereden fazla kez indirildi.
Kimler hedef alınıyor
Kötü amaçlı yazılım öncelikle Birleşik Arap Emirlikleri’ndeki
kullanıcıları ve Avrupa ve Asya’daki ülkeleri hedef alıyor.
Uzmanlar, hem virüslü uygulamaların faaliyet alanları hakkındaki
bilgilere hem de kötü amaçlı yazılımın teknik analizine dayanarak
bu sonuca vardılar. SparkCat resim ve fotoğraf galerilerini Çince,
Japonca, Korece, İngilizce, Çekçe, Fransızca, İtalyanca, Lehçe ve
Portekizce dahil olmak üzere birçok dilde anahtar kelimeler için
tarıyor. Ancak uzmanlar başka ülkelerde de kurbanların
olabileceğine inanıyor.
iOS platformundaki yemek dağıtım uygulaması ComeCome, Android
versiyonuyla birlikte enfekte olan uygulamalar arasında.
SparkCat nasıl çalışır
Yeni kötü amaçlı yazılım yüklendikten sonra, belirli durumlarda
kullanıcının akıllı telefon galerisindeki fotoğrafları görüntülemek
için erişim talep ediyor. Daha sonra bir optik karakter tanıma
(OCR) modülü kullanarak depolanan görüntülerdeki metni analiz
ediyor. Yazılım ilgili anahtar kelimeleri tespit ederse, görüntüyü
saldırganlara gönderiyor. Bilgisayar korsanlarının birincil hedefi
kripto para cüzdanları için kurtarma ifadeleri bulmak. Bu
bilgilerle kurbanın cüzdanı üzerinde tam kontrol sağlayabiliyorlar
ve içeriğini çalabiliyorlar. Kurtarma cümlelerini çalmanın
ötesinde, kötü amaçlı yazılım ekran görüntülerinden mesajlar ve
şifreler gibi diğer kişisel bilgileri de çıkarabiliyor.
Kaspersky zararlı yazılım analisti Sergey
Puzan, “Bu, AppStore’a sızan OCR tabanlı Truva
atının bilinen ilk vakası. Hem AppStore hem de Google Play
açısından, şu anda bu mağazalardaki uygulamaların bir tedarik
zinciri saldırısı yoluyla mı yoksa çeşitli başka yöntemlerle mi ele
geçirildiği belirsiz. Yemek dağıtım hizmetleri gibi bazı
uygulamalar meşru görünürken, diğerleri açıkça yem olarak
tasarlanmış” diyor.
Kaspersky Zararlı Yazılım Analisti Dmitry
Kalinin de şunları ekledi: “SparkCat
kampanyası, kendisini tehlikeli kılan bazı benzersiz özelliklere
sahip. Her şeyden önce resmi uygulama mağazaları aracılığıyla
yayılıyor ve belirgin bulaşma belirtileri olmadan çalışıyor. Bu
Truva atının gizliliği, hem mağaza denetleyicileri hem de mobil
kullanıcılar açısından keşfedilmesini zorlaştırıyor. Ayrıca talep
ettiği izinler makul göründüğünden gözden kaçmaları son derece
kolay. Kötü amaçlı yazılımın ulaşmaya çalıştığı galeriye erişim,
kullanıcı perspektifinden uygulamanın düzgün çalışması için
gerekliymiş gibi görünebiliyor. Bu izin genellikle kullanıcıların
müşteri desteğiyle iletişime geçmesi gibi ilgili bağlamlarda talep
ediliyor.”
Zararlı yazılımın Android sürümlerini analiz eden Kaspersky
uzmanları, kodda Çince yazılmış yorumlara rastladı. Ayrıca iOS
sürümünde geliştirici ana dizin adları olan “qiongwu” ve “quiwengjing” kelimelerinin bulunması, tehdidin arkasındaki tehdit
aktörlerinin akıcı bir şekilde Çince konuşabildiğini gösteriyor.
Bununla birlikte kampanyayı bilinen bir siber suç grubuna atfetmek
için yeterli kanıt bulunmuyor.
Makine öğrenimi destekli saldırılar
Siber suçlular araçlarında yapay sinir ağlarına giderek daha
fazla önem veriyor. SparkCat örneğinde, Android modülü, depolanan
görüntülerdeki metni tanımak için Google ML Kit kütüphanesini
kullanan bir OCR eklentisinin şifresini çözerek çalıştırıyor.
Benzer bir yöntem iOS kötü amaçlı modülünde de kullanılıyor.
Kaspersky çözümleri hem Android hem de iOS kullanıcılarını
SparkCat’ten koruyor. Tehdit HEUR:Trojan.IphoneOS.SparkCat.*
ve HEUR:Trojan.AndroidOS.SparkCat.* olarak tespit
ediliyor.
Bu kötü amaçlı yazılım kampanyasıyla ilgili kapsamlı
raporu Securelist’te bulabilirsiniz.
Kaspersky, bu gibi zararlı yazılımın kurbanı olmamak için
aşağıdaki güvenlik önlemlerini almanızı öneriyor:
- Virüslü uygulamalardan birini yüklediyseniz, hemen cihazınızdan
kaldırın ve kötü amaçlı işlevselliği ortadan kaldırmak için
güncelleme yayınlanana kadar kullanmayın. - Kripto para cüzdanı kurtarma ifadeleri de dahil olmak üzere
hassas bilgiler içeren ekran görüntülerini galerinizde saklamaktan
kaçının. Örneğin parolaları Kaspersky Password
Manager gibi özel uygulamalarda saklayabilirsiniz. - Kaspersky Premium gibi güvenilir siber güvenlik
yazılımlarıyla kötü amaçlı yazılım bulaşmalarını
önleyebilirsiniz.
Tehdit Araştırması
Tehdit Araştırması ekibi, siber tehditlere karşı koruma
konusunda lider bir otoritedir. Tehdit araştırması uzmanlarımız,
hem tehdit analizi hem teknoloji oluşturma süreçlerine aktif olarak
katılarak Kaspersky’nin siber güvenlik çözümlerinin derinlemesine
bilgi sahibi ve olağanüstü güçlü olmasını sağlar, müşterilerimize
ve daha geniş bir topluluğa kritik tehdit istihbaratı ve sağlam
güvenlik sunar.
en son tv sitesinden daha fazla şey keşfedin
Subscribe to get the latest posts sent to your email.
