Kaspersky, App Store ve Google Play’de Casusluk Yapan Yeni Truva Atı “SparkKitty”yi Keşfetti

Kaspersky araştırmacıları, iOS ve Android akıllı telefonları amaç alan SparkKitty isimli yeni bir Truva atı casusunu keşfetti. Casus, virüs bulaşmış telefondan manzaralar ile aygıt hakkındaki bilgileri saldırganlara gönderiyor. Bu makus emelli yazılım, kripto ve kumarla ilgili uygulamaların yanı sıra Truva atı haline getirilen bir TikTok uygulamasına yerleştiriliyor ve App Store, Google Play ile dolandırıcılık web siteleri üzerinden dağıtılıyor. Uzmanlar, saldırganların Güneydoğu Asya ve Çin’de yaşayanların kripto para varlıklarını çalmayı hedeflediğini öne sürüyor. Türkiye’deki kullanıcılar da benzeri bir siber tehditle karşı karşıya kalma riski taşıyor.

Kaspersky, Google ve Apple’ı kelam konusu ziyanlı uygulamalar hakkında bilgilendirdi. Birtakım teknik detaylar, yeni berbat gayeli yazılım kampanyasının daha evvel keşfedilen SparkCat  Truva atı ile temaslı olduğunu gösteriyor. Bu, saldırganın fotoğraf galerilerini taramasına, kripto para cüzdanı kurtarma cümleleri yahut şifreleri içeren ekran manzaralarını çalmasına imkan tanıyan yerleşik bir optik karakter tanıma (OCR) modülüne sahip makûs hedefli yazılım. Bu niteliğiyle iOS’ta cinsinin birinci örneği olma özelliği de taşıyor. SparkKitty olayı, Kaspersky araştırmacılarının SparkCat’in akabinde bir yıl içinde App Store’da buldukları ikinci Truva atı hırsızı oldu.

iOS

Truva atı, App Store’da kripto para birimi币coin ile ilgili bir uygulamaymış üzere davranıyor. Resmi iPhone App Store’u taklit eden kimlik avı sayfalarında, makûs maksatlı yazılım TikTok ve kumar uygulamaları imajı altında dağıtılıyor.

Truva atı, App Store’da 币coin isimli bir kripto uygulaması olduğu tez ediliyor

Geliştirici araçları aracılığıyla kelamda TikTok uygulaması yüklemek için AppStore’u taklit eden web sayfası
 Sözde TikTok uygulamasına yerleştirilmiş düzmece web mağazası

Kaspersky Ziyanlı Yazılım Uzmanı Sergey Puzan, şunları söylüyor: “Truva atının dağıtım vektörlerinden birinin, saldırganların kurbanların iPhone’larına bulaştırmaya çalıştıkları uydurma web siteleri olduğu ortaya çıktı. iOS, App Store’dan olmayan programları yüklemek için çeşitli yasal yollara sahip. Bu makûs niyetli kampanyada, saldırganlar bunlardan biri olan kurumsal iş uygulamalarını dağıtmak için özel geliştirici araçlarını kullandılar. TikTok’un virüslü versiyonunda, yetkilendirme sırasında makûs maksatlı yazılım, akıllı telefon galerisinden fotoğraf çalmanın yanı sıra, kişinin profil penceresine kuşkulu bir mağazaya kontaklar yerleştirdi. Bu mağaza sırf kripto para kabul ediyor. Bu da mevzuya dair telaşlarımızı artırıyor,”

Android

Saldırganlar hem üçüncü parti web sitelerinde hem de Google Play’de kullanıcıları maksat alarak makûs emelli yazılımı çeşitli kripto hizmetleri üzere gösterdiler. Örneğin virüslü uygulamalardan biri olan kripto para ünitesi değişim fonksiyonuna sahip SOEX isimli bir iletileşme programı, resmi mağazadan 10 binden fazla defa indirildi.

Google Play’de SOEX isimli kripto borsası uygulaması olduğu argüman edilen uygulama

Uzmanlar ayrıyeten, tespit edilen berbat niyetli kampanyayla ilgili olması muhtemel üçüncü parti web sitelerinde virüslü uygulamaların APK belgelerini buldu (bunlar resmi mağazaları atlayarak direkt Android akıllı telefonlara yüklenebiliyor). Bunlar yatırım kripto projeleri olarak pozisyonlandırılmış durumda. Bu uygulamaların yayınlandığı web siteleri, YouTube da dahil olmak üzere toplumsal ağlarda tanıtılıyor.

Kaspersky Makus Emelli Yazılım Uzmanı Dmitry Kalinin, şu bilgileri paylaşıyor: “Uygulamalar yüklendikten sonra açıklamalarında vaat edildiği üzere çalıştılar. Fakat birebir vakitte akıllı telefon galerisindeki fotoğrafları saldırganlara gönderdiler. Saldırganlar bu imajlarda çeşitli saklı datalar bulmaya çalışabilirler. Örneğin kurbanların varlıklarına erişmek için kripto cüzdan kurtarma sözleri üzere. Saldırganların dijital varlıklarla ilgilendiğine dair dolaylı işaretler var: Virüs bulaşan uygulamaların birden fazla kriptoyla ilgiliydi ve Truva atı bulaşan TikTok uygulamasında da eserler için sırf kripto ile ödeme kabul eden yerleşik bir mağaza vardı.”

Saldırıyla ilgili detaylı raporu Securelist.com’da bulabilirsiniz.

Kaspersky, bu ziyanlı yazılımın kurbanı olmamak için aşağıdaki güvenlik tedbirlerini öneriyor:

• Virüslü uygulamalardan birini yüklediyseniz, çabucak aygıtınızdan kaldırın ve makus hedefli fonksiyonelliği ortadan kaldırmak için yeni bir güncelleme yayınlanana kadar kullanmayın.
• Kripto para cüzdanı kurtarma tabirleri de dahil olmak üzere hassas bilgiler içeren ekran imajlarını galerinizde saklamaktan kaçının. Örneğin parolalarınızı Kaspersky Password Manager gibi özel uygulamalarda saklayabilirsiniz.
• Kaspersky Premium gibi emniyetli siber güvenlik yazılımları, makûs gayeli yazılım bulaşmalarını önleyebilir. Apple işletim sisteminin mimari özellikleri nedeniyle, iOS için Kaspersky tahlili, saldırganın komut sunucusuna bilgi aktarma teşebbüsü tespit ederse kullanıcıya bir ihtar gösterir ve saldırganın bilgi aktarmasını pürüzler.
• Bir uygulama telefonun fotoğraf kitaplığına erişmek için müsaade isterse, bu uygulamanın sahiden buna muhtaçlığı olup olmadığını değerlendirin.

Kaynak: (BYZHA) Beyaz Haber Ajansı