Kaspersky araştırmacıları, iOS ve Android akıllı telefonları hedef alan SparkKitty adlı yeni bir Truva atı casusunu keşfetti. Casus, virüs bulaşmış telefondan görüntüler ile cihaz hakkındaki bilgileri saldırganlara gönderiyor. Bu kötü amaçlı yazılım, kripto ve kumarla ilgili uygulamaların yanı sıra Truva atı haline getirilen bir TikTok uygulamasına yerleştiriliyor ve App Store, Google Play ile dolandırıcılık web siteleri üzerinden dağıtılıyor. Uzmanlar, saldırganların Güneydoğu Asya ve Çin’de yaşayanların kripto para varlıklarını çalmayı hedeflediğini öne sürüyor. Türkiye’deki kullanıcılar da benzer bir siber tehditle karşı karşıya kalma riski taşıyor.
Kaspersky, Google ve Apple'ı söz konusu zararlı uygulamalar hakkında bilgilendirdi. Bazı teknik ayrıntılar, yeni kötü amaçlı yazılım kampanyasının daha önce keşfedilen SparkCat Truva atı ile bağlantılı olduğunu gösteriyor. Bu, saldırganın resim galerilerini taramasına, kripto para cüzdanı kurtarma cümleleri veya şifreleri içeren ekran görüntülerini çalmasına olanak tanıyan yerleşik bir optik karakter tanıma (OCR) modülüne sahip kötü amaçlı yazılım. Bu niteliğiyle iOS'ta türünün ilk örneği olma özelliği de taşıyor. SparkKitty vakası, Kaspersky araştırmacılarının SparkCat'in ardından bir yıl içinde App Store'da buldukları ikinci Truva atı hırsızı oldu.
iOS
Truva atı, App Store'da kripto para birimi币coin ile ilgili bir uygulamaymış gibi davranıyor. Resmi iPhone App Store'u taklit eden kimlik avı sayfalarında, kötü amaçlı yazılım TikTok ve kumar uygulamaları görüntüsü altında dağıtılıyor.
Truva atı, App Store'da 币coin adlı bir kripto uygulaması olduğu iddia ediliyor
Kaspersky Zararlı Yazılım Uzmanı Sergey Puzan, şunları söylüyor: "Truva atının dağıtım vektörlerinden birinin, saldırganların kurbanların iPhone'larına bulaştırmaya çalıştıkları sahte web siteleri olduğu ortaya çıktı. iOS, App Store'dan olmayan programları yüklemek için çeşitli yasal yollara sahip. Bu kötü niyetli kampanyada, saldırganlar bunlardan biri olan kurumsal iş uygulamalarını dağıtmak için özel geliştirici araçlarını kullandılar. TikTok'un virüslü versiyonunda, yetkilendirme sırasında kötü amaçlı yazılım, akıllı telefon galerisinden fotoğraf çalmanın yanı sıra, kişinin profil penceresine şüpheli bir mağazaya bağlantılar yerleştirdi. Bu mağaza yalnızca kripto para kabul ediyor. Bu da konuya dair endişelerimizi artırıyor,"
Android
Saldırganlar hem üçüncü parti web sitelerinde hem de Google Play'de kullanıcıları hedef alarak kötü amaçlı yazılımı çeşitli kripto hizmetleri gibi gösterdiler. Örneğin virüslü uygulamalardan biri olan kripto para birimi değişim işlevine sahip SOEX adlı bir mesajlaşma programı, resmi mağazadan 10 binden fazla kez indirildi.
Google Play'de SOEX adlı kripto borsası uygulaması olduğu iddia edilen uygulama
Uzmanlar ayrıca, tespit edilen kötü niyetli kampanyayla ilgili olması muhtemel üçüncü parti web sitelerinde virüslü uygulamaların APK dosyalarını buldu (bunlar resmi mağazaları atlayarak doğrudan Android akıllı telefonlara yüklenebiliyor). Bunlar yatırım kripto projeleri olarak konumlandırılmış durumda. Bu uygulamaların yayınlandığı web siteleri, YouTube da dahil olmak üzere sosyal ağlarda tanıtılıyor.
Kaspersky Kötü Amaçlı Yazılım Uzmanı Dmitry Kalinin, şu bilgileri paylaşıyor: "Uygulamalar yüklendikten sonra açıklamalarında vaat edildiği gibi çalıştılar. Ancak aynı zamanda akıllı telefon galerisindeki fotoğrafları saldırganlara gönderdiler. Saldırganlar bu görüntülerde çeşitli gizli veriler bulmaya çalışabilirler. Örneğin kurbanların varlıklarına erişmek için kripto cüzdan kurtarma ifadeleri gibi. Saldırganların dijital varlıklarla ilgilendiğine dair dolaylı işaretler var: Virüs bulaşan uygulamaların çoğu kriptoyla ilgiliydi ve Truva atı bulaşan TikTok uygulamasında da ürünler için yalnızca kripto ile ödeme kabul eden yerleşik bir mağaza vardı."
Kaspersky, bu zararlı yazılımın kurbanı olmamak için aşağıdaki güvenlik önlemlerini öneriyor:
- Virüslü uygulamalardan birini yüklediyseniz, hemen cihazınızdan kaldırın ve kötü amaçlı işlevselliği ortadan kaldırmak için yeni bir güncelleme yayınlanana kadar kullanmayın.
- Kripto para cüzdanı kurtarma ifadeleri de dahil olmak üzere hassas bilgiler içeren ekran görüntülerini galerinizde saklamaktan kaçının. Örneğin parolalarınızı Kaspersky Password Manager gibi özel uygulamalarda saklayabilirsiniz.
- Kaspersky Premium gibi güvenilir siber güvenlik yazılımları, kötü amaçlı yazılım bulaşmalarını önleyebilir. Apple işletim sisteminin mimari özellikleri nedeniyle, iOS için Kaspersky çözümü, saldırganın komut sunucusuna veri aktarma girişimi tespit ederse kullanıcıya bir uyarı gösterir ve saldırganın veri aktarmasını engeller.
- Bir uygulama telefonun fotoğraf kitaplığına erişmek için izin isterse, bu uygulamanın gerçekten buna ihtiyacı olup olmadığını değerlendirin.
Saldırıyla ilgili ayrıntılı raporu Securelist.com'da bulabilirsiniz.
