Yeni keşfedilen bir kötü amaçlı yazılım kampanyası, App Store’da bulunan uygulamalardaki açıkları kullanarak iOS cihazlardan kripto para çalmaktadır.
Kaspersky araştırmacıları, hem iOS hem de Android üzerinde birçok uygulamanın içinde gizli olan SparkCat adlı bir kötü amaçlı yazılım geliştirme kiti (SDK) keşfetti. SparkCat, kullanıcıların kripto para cüzdanı kurtarma kelime gruplarını optik karakter tanıma (OCR) kullanarak çalmayı hedefliyor. Böylece saldırganlar, uzaktan erişimle fonlara ulaşabiliyor ve onları boşaltabiliyorlar.
Kaspersky, kötü amaçlı SparkCat SDK ile bağlantılı MD5 hash’leri ve iOS uygulamalarının BundleID’lerini paylaştı. Ancak şirket, enfekte olan uygulamaların tam listesini açıklamadığı için kullanıcılar hangi uygulamaların etkilenip etkilenmediğini bilmiyorlar.
Özellikle ChatAi gibi bazı uygulamalar belirlenmiş olmasına rağmen, daha birçoğu ismi verilmeden kalmış durumda ve bu, kötü amaçlı yazılımın kullanıcıların cihazlarında hala bulunabileceği endişesini artırıyor.
Google Play’deki enfekte uygulamaların toplamda 242,000‘den fazla indirimi oldu ve SparkCat, Apple’ın App Store inceleme sürecinden geçen ilk belgelenmiş kripto çalma kötü amaçlı yazılımı olarak kaydedildi. İlk olarak, Birleşik Arap Emirlikleri ve Endonezya’da bulunan bir yiyecek dağıtım uygulaması olan ComeCome‘da ortaya çıktı.
Araştırmacılar, bu kötü amaçlı yazılımın en az Mart 2024‘ten beri aktif olduğunu, kullanıcıların fotoğraf galerilerini kripto cüzdanı kurtarma kelime gruplarını tarayarak gizlice bir saldırgan kontrolündeki komut ve kontrol (C2) sunucusuna yüklediğini belirtti.
Geçmişteki kötü amaçlı yazılımların çoğunlukla resmi olmayan kaynaklar üzerinden yayıldığını belirtirken, SparkCat, meşru uygulama mağazalarına sızmayı başardığı için daha ciddi bir tehdit haline geldi. Ayrıca, saldırganlarla iletişim kurmak için Rust adlı alışılmadık bir programlama dili kullanarak özel bir protokol aracılığı ile haberleşiyor.
Enfekte olan bazı uygulamalar, yiyecek dağıtım ve yapay zeka destekli mesajlaşma uygulamaları gibi meşru görünüyor; diğerleri ise kullanıcıları tuzağa düşürmek için oluşturulmuş gibi görünüyor.
Apple ve Google, etkilenen uygulamaların çoğunu kaldırmış olsa da, güvenlik araştırmacıları bazı uygulamaların hâlâ üçüncü taraf kaynaklar veya sideload yöntemiyle erişilebilir olabileceğini uyarıyor. Bu uygulamaları indiren herkesin derhal silmesi ve kripto cüzdanlarını yetkisiz erişim belirtileri açısından kontrol etmesi gerekiyor.
Kripto Varlıklarınızı Koruma Yöntemleri
SparkCat gibi bazı kötü amaçlı yazılımlar da görsellerden metin çıkarmak için OCR kullanıyor. Kurtarma kelime grubunu ekran görüntüsü veya fotoğraf olarak saklamak, saldırganların kullandığı otomatik tarama araçları için kolay bir hedef oluşturuyor.
Yüklü uygulamalarınızı düzenli olarak kontrol edin ve tanımadığınız ya da gereksiz görünenleri silin. Güvenilir bir mobil güvenlik uygulaması kullanmak, potansiyel tehditleri sorun haline gelmeden önce yakalamaya yardımcı olabilir.
Cüzdanınızın tehlikeye girdiğini düşünüyorsanız, fonlarınızı temiz bir cihazdan yeni bir cüzdana geçirin; ancak önce cihazınızın temiz olduğundan emin olun.
Şüpheli uygulamaları silmek, özellikle güvenlik raporlarında belirtilenleri kaldırmak önemlidir. Ayrıca uygulama izinlerini sıfırlamak ve önbellek verilerini temizlemek, herhangi bir kalan tehdidin ortadan kaldırılmasına yardımcı olabilir.
Yedekten geri yükleme yapmadan önce, yedeğinizde enfekte olan uygulamaların bulunmadığından emin olun; çünkü kötü amaçlı yazılımı yeniden tanıtmak yaygın bir risktir. Sıfırlamadan sonra yalnızca güvenilir kaynaklardan temel uygulamaları yeniden yüklemek, riski minimize etmek için iyi bir fikirdir.
