Apple’ın App Store platformunda ilk kez kripto para cüzdanlarını hedef alan zararlı uygulamalar tespit edildi. Kaspersky’nin raporuna göre, hem Android hem de iOS uygulamalarında, kullanıcının kripto cüzdan kurtarma ifadelerini çalmak için tasarlanmış kötü amaçlı bir yazılım geliştirme kiti (SDK) bulundu.
SparkCat Saldırısı: Kripto Para Cüzdanlarını Hedefleyen Tehdit
Bu kötü amaçlı kampanya, bulaşmış uygulamalarda tespit edilen “Spark” adlı bir bileşenden dolayı “SparkCat” olarak adlandırılıyor. Saldırıyı gerçekleştirenlerin, uygulama geliştiricilerini bu kötü amaçlı kodları entegre etmeye bilerek teşvik edip etmediği henüz bilinmiyor.
Google Play’de indirilen kötü amaçlı uygulamaların sayısı 242.000’i aştı. Kaspersky, ilk kez App Store’da bir “stealer” yazılımı tespit ettiklerini açıkladı.
Kripto Para Hırsızlığı Nasıl Gerçekleşiyor?
- Android cihazlarda “Spark” adlı Java bileşeni, meşru bir analiz modülü gibi gizleniyor ve komutları GitLab’da saklanan şifreli bir yapılandırma dosyasından alıyor.
- iOS cihazlarında ise framework farklı isimlerle (örneğin “Gzip”, “googleappsdk”, “stat”) gizleniyor ve saldırganların sunucularıyla bağlantı kurmak için Rust tabanlı “im_net_sys” modülünü kullanıyor.
- Google ML Kit OCR teknolojisini kullanarak, cihazdaki görsellerde yer alan kripto cüzdan kurtarma ifadelerini tespit ediyor. Latin, Kore, Çince ve Japonca gibi farklı dillerde metinleri ayırt edebiliyor.
- SDK, cihazdan topladığı verileri komut ve kontrol (C2) sunucusuna gönderiyor ve sunucudan aldığı yanıtlarla çalışmasını sürdürüyor.
Kaspersky’ye göre, 18 Android ve 10 iOS uygulaması bu zararlı yazılımı barındırıyor. Bunlardan bazıları hâlâ mağazalarda bulunuyor.
Özellikle 50.000’den fazla indirilen “ChatAi” isimli Android uygulaması zararlı olarak raporlandı ve şu an Google Play’den kaldırıldı. Tam liste, Kaspersky’nin yayımladığı raporda bulunuyor. Kullanıcılar kendilerini koruma altına almak için şu yöntemleri uygulayabilir;
- App Store veya Google Play’den indirdiğiniz uygulamaları kontrol edin ve listelenen kötü amaçlı uygulamalardan birine sahipseniz hemen kaldırın.
- Mobil antivirüs uygulamaları kullanarak cihazınızı tarayın.
- Gerekirse fabrika ayarlarına döndürerek temiz bir kurulum yapın.
- Kripto cüzdan kurtarma ifadelerini ekran görüntüsü olarak saklamaktan kaçının. Bunun yerine, şifrelenmiş harici depolama cihazlarında veya çevrimdışı parola yöneticilerinde saklayın.
Google ve Apple, konuyla ilgili henüz bir açıklama yapmazken, gelecekte App Store ve Google Play’deki güvenlik önlemlerinin artırılması bekleniyor.