Kaspersky uzmanları, kripto varlık hırsızlığı amacıyla geliştirilen "SparkCat" adlı truva atının yeni bir varyantının dijital uygulama platformlarında yeniden ortaya çıktığını duyurdu.
Şirketten yapılan açıklamaya göre, meşru görünümlü uygulamalara gizlenen zararlı yazılım, kullanıcıların fotoğraf galerilerini tarayarak kripto para cüzdanlarına ait kurtarma ifadelerini ele geçirmeyi hedefliyor.
İlk kez geçen yıl tespit edilip ortadan kaldırılmasının ardından yeniden ortaya çıkan SparkCat'in güncellenmiş versiyonu, kurumsal iletişim ve yemek teslimat uygulaması gibi görünen yazılımlar üzerinden yayılıyor.
Dijital uygulama platformlarında toplam 3 enfekte uygulama tespit edilerek ortadan kaldırılırken, telemetri verileri, söz konusu kodların bulaştığı uygulamaların üçüncü taraf kaynaklar üzerinden de dağıtıldığını ortaya koydu.
Japonca, Korece ve Çince anahtar kelimeler içeren ekran görüntülerini hedef alan Android varyant, Asya'daki kullanıcıları odak alıyor. İngilizce yazılan iOS sürümü ise kripto cüzdan kurtarma ifadelerini tarıyor ve daha geniş bir kullanıcı kitlesini etkileyebiliyor.
- Gelişmiş gizleme katmanları bulunuyor
SparkCat'in Android sürümünün güncellenmiş versiyonu, önceki sürümlere kıyasla daha gelişmiş gizleme katmanları içeriyor. Söz konusu versiyonda kod sanallaştırma ve platformlar arası programlama dillerinin kullanımı gibi mobil zararlı yazılımlarda nadir görülen teknikler yer alıyor.
Kaspersky uzmanları, kullanıcıların mobil cihazlarını korumak için güvenilir güvenlik yazılımları kullanmasını, kripto cüzdanı kurtarma ifadeleri gibi hassas bilgileri ekran görüntüsü olarak saklamaktan kaçınmasını ve uygulamaları resmi mağazalardan indirirken dikkatli olunmasını önerdi.
Açıklamada görüşlerine yer verilen Kaspersky Siber Güvenlik Uzmanı Sergey Puzan, SparkCat'in belirli senaryolarda kullanıcıdan fotoğraf galerisine erişim izni talep ettiğini, optik karakter tanıma (OCR) modülü aracılığıyla görsellerdeki metinlerin analiz edildiğini belirtti.
Puzan, ilgili anahtar kelimeler tespit edildiğinde görsellerin saldırganlara gönderildiğini kaydederek, "Mevcut örnek ile önceki sürüm arasındaki benzerlikler, bu yeni varyantın aynı geliştiriciler tarafından hazırlandığını düşündürüyor. Bu kampanya, mobil cihazları geniş kapsamlı siber tehditlere karşı korumak için güvenlik çözümlerinin önemini bir kez daha ortaya koyuyor." ifadelerini kullandı.
Kaspersky Siber Güvenlik Uzmanı Dmitry Kalinin ise SparkCat'in sürekli evrilen bir mobil tehdit olduğuna dikkati çekti.
Tehdit aktörlerinin analizden kaçınma tekniklerini geliştirerek resmi uygulama mağazalarının inceleme süreçlerini aşabildiğine değinen Kalinin, "Ayrıca kod sanallaştırma ve platformlar arası programlama dili kullanımı gibi yöntemler, mobil zararlı yazılımlarda oldukça nadir görülüyor. Bu durum, saldırganların yüksek teknik yetkinliğe sahip olduğunu gösteriyor." değerlendirmesinde bulundu.