Kaspersky, Uygulama Mağazalarının Güvenlik Duvarlarını Aşan SparkCat Yeni Varyantını Keşfetti

Kaspersky, kripto para varlıklarının çalınmasına yönelik geliştirilen SparkCat adlı Truva Atı’nın Android ve iOS için güncellenmiş yeni bir versiyonunu tespit etti. Bu zararlı yazılım, daha önce kaldırılmasına rağmen, hem Apple App Store hem de Google Play Store üzerinde yeniden ortaya çıktı ve kullanıcıların mobil cihazlarındaki kritik verileri ele geçirmeye odaklanıyor.

Yenilenen SparkCat Truva Atının Yayılım Stratejisi ve Teknik Özellikleri

Söz konusu Truva Atı, görünüşte kurumsal iletişim uygulamaları ve yemek teslimatı gibi meşru uygulamalar içinde gizlenerek yaygınlaşıyor. Kaspersky uzmanları tarafından App Store’da iki, Google Play’de ise bir adet bulaşmış uygulama tespit edilip zararlı kodlar kaldırıldı. Buna ek olarak, zararlı yazılımın üçüncü taraf kaynaklar üzerinden ve iPhone’larda App Store arayüzünü taklit eden web sayfaları aracılığıyla da dağıtıldığı belirlendi.

Android versiyonu, cihazlarda bulunan fotoğraf galerilerini tarayarak özellikle Japonca, Korece ve Çince kelimeler içeren ekran görüntülerini hedef alıyor. Bu, kampanyanın Asya bölgesindeki kullanıcıların kripto varlıklarını öncelikli hedef edindiğine işaret etmektedir. iOS versiyonu ise İngilizce yazılmış kripto cüzdanı kurtarma kelimelerini arayarak daha geniş bir coğrafi alanı kapsama potansiyeline sahiptir.

Güncellenen Android varyantı, önceki sürümlerine kıyasla ileri düzeyde kod gizleme yöntemleri ve sanallaştırma teknikleri ile geliştirildi. Bunun yanında, bu sürüm platformlar arası programlama dili kullanımı gibi nadir karşılaşılan teknik özellikler de barındırmaktadır.

Uzman Görüşleri ve Korunma Önerileri

Kaspersky Siber Güvenlik Uzmanı Sergey Puzan, yeni SparkCat versiyonunun kullanıcıdan fotoğraf galerisi erişim izni talep ederek optik karakter tanıma (OCR) teknolojisi aracılığıyla görsellerdeki metinleri analiz ettiğini ifade etti. Anahtar kelimeler tespit edildiğinde, ilgili görseller saldırganlara gönderiliyor. Ayrıca, önceki sürüm ile teknik ve fonksiyonel benzerlikler, bu varyantın aynı geliştirici tarafından hazırlanmış olabileceğine işaret ediyor.

Bir diğer uzman Dmitry Kalinin ise tehdit aktörlerinin gelişmiş analiz atlatma yöntemleri ve teknik yeterlilik seviyesine dikkat çekerek, SparkCat Truva Atının resmi uygulama mağazalarının güvenlik kontrollerini aşmak için karmaşık yöntemler kullandığını belirtti.

Kaspersky, kullanıcıların bu tehdide karşı korunmaları adına şu önlemlerin önemine vurgu yaptı: güvenilir güvenlik yazılımları kullanmak; kripto cüzdanı kurtarma ifadelerini ve diğer kritik verileri fotoğraf galerilerinde saklamamak; bu tür bilgileri özel uygulamalarda muhafaza etmek; ve uygulamaları indirirken resmi mağazalar dahi olsa dikkatli davranmak.

Kaynak: BYZHA