En az Mart 2024’ten beri AppStore ve Google Play’de aktif olan SparkCat adlı veri çalmaya odaklanan yeni bir Truva atı keşfedildi. Bu tehdit, AppStore’da görünen optik tanıma tabanlı kötü amaçlı yazılımın bilinen ilk örneği olarak dikkat çekiyor.
SparkCat, resim galerilerini taramak ve kripto para cüzdanı kurtarma ifadeleri içeren ekran görüntülerini çalmak için makine öğrenimini kullanıyor. Ayrıca görüntülerdeki parolalar gibi diğer hassas verileri de bulup çıkarabiliyor.
Kötü amaçlı yazılım, hem virüs bulaşmış yasal uygulamalar hem de mesajlaşma programları, yapay zeka asistanları, yemek teslim hizmetleri, kripto ile ilgili uygulamalar ve diğer yemler aracılığıyla yayılıyor.
Bu uygulamalardan bazıları Google Play ve AppStore’daki resmi platformlarda mevcut. Güvenlik telemetri verileri, virüslü sürümlerin diğer resmi olmayan kaynaklar aracılığıyla dağıtıldığını da gösteriyor. Google Play’de bu uygulamalar 242 bin kereden fazla kez indirildi.
Kimler hedef alınıyor
Kötü amaçlı yazılım öncelikle Birleşik Arap Emirlikleri’ndeki kullanıcıları ve Avrupa ve Asya’daki ülkeleri hedef alıyor. Uzmanlar, hem virüslü uygulamaların faaliyet alanları hakkındaki bilgilere hem de kötü amaçlı yazılımın teknik analizine dayanarak bu sonuca vardılar.
SparkCat resim ve fotoğraf galerilerini Çince, Japonca, Korece, İngilizce, Çekçe, Fransızca, İtalyanca, Lehçe ve Portekizce dahil olmak üzere birçok dilde anahtar kelimeler için tarıyor. Ancak uzmanlar başka ülkelerde de kurbanların olabileceğine inanıyor.
SparkCat nasıl çalışır
İlginizi çekebilir: Apple iPhone Fold Prototiplerini Test EdiyorYeni kötü amaçlı yazılım yüklendikten sonra, belirli durumlarda kullanıcının akıllı telefon galerisindeki fotoğrafları görüntülemek için erişim talep ediyor. Daha sonra bir optik karakter tanıma (OCR) modülü kullanarak depolanan görüntülerdeki metni analiz ediyor. Yazılım ilgili anahtar kelimeleri tespit ederse, görüntüyü saldırganlara gönderiyor.
Bilgisayar korsanlarının birincil hedefi kripto para cüzdanları için kurtarma ifadeleri bulmak. Bu bilgilerle kurbanın cüzdanı üzerinde tam kontrol sağlayabiliyorlar ve içeriğini çalabiliyorlar. Kurtarma cümlelerini çalmanın ötesinde, kötü amaçlı yazılım ekran görüntülerinden mesajlar ve şifreler gibi diğer kişisel bilgileri de çıkarabiliyor.
Bu, AppStore’a sızan OCR tabanlı Truva atının bilinen ilk vakası. Hem AppStore hem de Google Play açısından, şu anda bu mağazalardaki uygulamaların bir tedarik zinciri saldırısı yoluyla mı yoksa çeşitli başka yöntemlerle mi ele geçirildiği belirsiz. Yemek dağıtım hizmetleri gibi bazı uygulamalar meşru görünürken, diğerleri açıkça yem olarak tasarlanmış.
Zararlı yazılımın Android sürümlerini analiz eden güvenlik uzmanları, kodda Çince yazılmış yorumlara rastladı. Ayrıca iOS sürümünde geliştirici ana dizin adları olan “qiongwu” ve “quiwengjing” kelimelerinin bulunması, tehdidin arkasındaki tehdit aktörlerinin akıcı bir şekilde Çince konuşabildiğini gösteriyor. Bununla birlikte kampanyayı bilinen bir siber suç grubuna atfetmek için yeterli kanıt bulunmuyor.
Makine öğrenimi destekli saldırılar
Siber suçlular araçlarında yapay sinir ağlarına giderek daha fazla önem veriyor. SparkCat örneğinde, Android modülü, depolanan görüntülerdeki metni tanımak için Google ML Kit kütüphanesini kullanan bir OCR eklentisinin şifresini çözerek çalıştırıyor. Benzer bir yöntem iOS kötü amaçlı modülünde de kullanılıyor.
Bu kötü amaçlı yazılım kampanyasıyla ilgili kapsamlı raporu Securelist‘te bulabilirsiniz.
