Yeni Tehdit: SparkKitty Zararlısı
Son zamanlarda, SparkKitty isimli yeni bir mobil kripto çalma zararlısı, Google Play ve Apple App Store’da bulunan uygulamalarda tespit edildi. Bu zararlının hedefi, hem Android hem de iOS cihazları. Kaspersky’nin Ocak ayında keşfettiği SparkCat zararlısının bir evrimi olduğu düşünülen SparkKitty, özellikle kripto para cüzdanları üzerinde ciddi tehditler oluşturuyor.
SparkCat, optik karakter tanıma (OCR) teknolojisini kullanarak, enfekte olmuş cihazlardaki görüntülerden kripto para cüzdanı kurtarma ifadeleri çalıyordu. Kripto para cüzdanlarının kurulumu sırasında, kullanıcıların cüzdanlarının kurtarma ifadelerini güvenli bir yerlerde saklamaları isteniyor. Bu kurtarma ifadesine erişim, başka bir cihazda cüzdanın geri yüklenmesine imkan tanıdığından, kötü niyetli saldırganlar için oldukça değerlidir.
Zararlının İşleyiş Mekanizması
Kaspersky’nin raporuna göre, SparkKitty zararlısı enfekte olmuş bir cihazın fotoğraf galerisi içindeki tüm görüntüleri kayıtsız şartsız çalmaktadır. Kullanıcının kurtarma ifadesini içeren görüntülerin dışındaki veriler ise başka kötü amaçlar için kullanılabilir. Örneğin, bu görüntülerin bazıları hassas içerikler taşıyorsa, extorsiyon amacıyla da kullanılabilir.
SparkKitty kampanyası, en azından Şubat 2024’ten itibaren aktif durumda ve hem resmi Google hem de Apple uygulama mağazaları üzerinden yayılmaktadır. Kaspersky, Apple App Store’da 币coin ve Google Play’de SOEX isimli zararlı uygulamaları tespit etti. Bu uygulamalar, yazının yazıldığı tarihte kaldırılmış durumdaydı. SOEX, kripto para borsa özelliklerine sahip bir mesajlaşma uygulamasıydı ve Android’in resmi uygulama mağazasında 10,000’den fazla indirme almıştı.
Bunun yanı sıra, Kaspersky, SparkKitty zararlısını içeren modifiye edilmiş TikTok kopyaları, sahte çevrimiçi kripto mağazaları, bahis uygulamaları ve casinoları içeren uygulamaların dağıtıldığını ortaya çıkardı. iOS platformunda SparkKitty, sahte çerçeveler (AFNetworking.framework, libswiftDarwin.dylib) aracılığıyla ve zaman zaman kurumsal sağlama profilleri üzerinden teslim edilmektedir. Android platformunda ise, zararlı yazılım Java/Kotlin uygulamalarına entegre edilmiş durumdadır.
Tehlike ve Önlemler
Zararlı yazılım, iOS’da uygulama başlatıldığında otomatik olarak kodunu yürütmek için Objective-C ‘+load’ yöntemini kullanmaktadır. Uygulamanın Info.plist dosyasından anahtarlar okunarak bir yapılandırma kontrolü gerçekleştirilir; yukarıda bahsedilen değerlerin beklenen dizelerle eşleşmesi durumunda yürütme işlemi devam eder.
Android’de, zararlı yazılım uygulama başlatıldığında veya kullanıcı tarafından belirli eylemler gerçekleştirildiğinde aktif hale gelmektedir. İlk aktivasyon sonrasında ise, bir uzak yapılandırma dosyasını AES-256 (ECB modu) ile çözerek C2 URL’lerini elde eder. iOS’da zararlı yazılım, kullanıcının fotoğraf galerisinin erişimini isterken, Android’de de kullanıcıdan depolama izinleri talep edilmektedir.
Eğer iOS üzerinde izin verilirse, zararlı yazılım galeri üzerindeki değişiklikleri izler ve yeni veya daha önce yüklenmemiş görüntüleri sızdırır. Android üzerinde, zararlı yazılım, galeri içindeki görüntüleri yüklerken cihaz tanımlayıcıları ve meta verilerle birlikte gönderir. Kaspersky, bazı SparkKitty versiyonlarının sadece metin içeren görüntüleri tespit etmek için Google ML Kit OCR kullandığını bildirmiştir.
Uygulama İndirme Güvenliği
SparkKitty, resmi uygulama mağazalarına sızmayı başaran yeni bir zararlı yazılım örneğidir ve bu durum, kullanıcıların vetted dağıtım kanallarında yazılımlara körü körüne güvenmemeleri gerektiğini bir kez daha vurgulamaktadır. Tüm uygulamalar, sahte incelemeler, kuşkulu geçmişe sahip yayıncılar ya da yüksek sayıda olumlu inceleme ile düşük indirme kombinasyonu gibi dolandırıcılık belirtileri açısından dikkatlice incelenmelidir.
Uygulama yükleme sırasında, galeri erişim talepleri, uygulamanın temel işlevleriyle ilgili değilse şüpheyle karşılanmalı ve reddedilmelidir. iOS üzerinde, yapılandırma profilleri veya sertifikalarının güvenilir bir kaynaktan gelmediği sürece kurulumu yapılmamalıdır. Android cihazlarda ise, ayarlarda Google Play Protect özelliğinin etkinleştirilmesi ve düzenli tam cihaz taramaları yapılması önerilmektedir.
Son olarak, kripto para sahipleri, mobil cihazlarında cüzdan kurtarma ifadelerinin görüntülerini saklamamalıdır. Bu ifadeler artık aktif olarak hedef alınmakta; bunları güvenli bir yerlerde, çevrimdışı olarak saklamak en doğru tercih olacaktır.
