Android ve iOS’u çalan kripto kurtarma anahtarlarından 242.000 kez indirilen kötü amaçlı uygulamalar

   Şubat 5, 2025  Posted in CyberSecurityNews


Android ve iOS'u çalan kripto kurtarma anahtarlarından 242.000 kez indirilen kötü amaçlı uygulamalar

Şok edici bir vahiyde, araştırmacılar hem Android hem de iOS kullanıcılarını hedefleyen yaygın bir kötü amaçlı yazılım kampanyası ortaya çıkardılar.

“Sparkcat” olarak adlandırılan bu kötü niyetli işlem, kripto para cüzdanları için kurtarma ifadelerini çalmak için tasarlanmış kötü amaçlı bir SDK ile gömülü uygulamaları içerir.

Bazıları Google Play ve App Store’da bulunan enfekte olmuş uygulamalar 242.000’den fazla indirildi.

Hizmet Olarak Siem

Kaspersky Labs ‘Securelist’teki araştırmacılar, bunun OCR tabanlı kripto cüzdan casus yazılımlarının ilk bilinen durumunu Apple’ın App Store’a doğru ilerlettiğini belirtti.

Sparkcat analizi

SparkCAT kötü amaçlı yazılım, kripto para birimi kurtarma cümleleri ile ilgili anahtar kelimeler için cihazın galerisindeki görüntüleri taramak için Google’ın ML Kit Kütüphanesi ile oluşturulan bir OCR (optik karakter tanıma) eklentisi kullanır.

Kötü amaçlı yazılım, Google’ın OCR (optik karakter tanıma) yetenekleri için ML Kit Kütüphanesi’ni içeren kötü amaçlı bir SDK/çerçeve kullanıldı.

Bu anahtar kelimeler “助记词” (“anemonik” için Çince), “ニーモニック” (“Anımsatıcı” için Japonca) ve İngilizce olarak “Anımsavar” gibi terimleri içerir. Belirlendikten sonra, görüntüler daha fazla analiz için bir komut ve kontrol (C2) sunucusuna gönderilir.

{
    "keywords": ["助记词", "助記詞", "ニーモニック", "기억코드", "Mnemonic", 
                 "Mnemotecnia", "Mnémonique", "Mnemotechnika", "Mnemônico", 
                 "클립보드로복사", "복구", "단어", "문구", "계정", "Phrase"]
}

Android’de kötü amaçlı kod, 10.000’den fazla indirme ile “COMECOME” Gıda Dağıtım Uygulamasında (Paket: Com.binter.mall.android) bulundu.

10000’den fazla indirme ile comecome (kaynak – Sekürelist)

İOS’ta, kötü niyetli çerçeve, birden fazla App Store uygulamasında, aşağıdakiler kullanılarak keşfedildi:

App Store’daki COMECOME sayfası (Kaynak – Securelist)

İOS versiyonu, “/Users/Qiongwu/” ve “/Users/Quiwengjing/” gibi yollarla Çince geliştirme kökenlerini ortaya çıkaran hata ayıklama sembolleri içeriyordu.

Kötü amaçlı yazılım, mobil uygulamalarda nadir görülen bir dil olan Rust’ta uygulanan tanımlanamayan bir protokol kullanarak C2 sunucusu ile iletişim kurar.

Kötü amaçlı yükü içeren popüler uygulamalar (kaynak – Securelist)

Bu protokol, CBC modunda AES-256 ile verileri şifrelemeyi ve kendisini popüler bir Android obfuscator olarak gizlemek için özel bir kitaplık kullanmayı içerir.

ViewDIDload Yöntemi (Kaynak – SecureList) etrafındaki kötü amaçlı sargının kod snippet’i

“Rust” sunucusuyla iletişim kurarken, kötü amaçlı yazılım üç aşamalı bir işlemi takip eder:-

  1. Şifreleme: Veriler CBC modunda AES-256 ile şifrelenir.
  2. Sıkıştırma: Şifrelenmiş veriler ZSTD kullanılarak sıkıştırılır.
  3. Bulaşma: Sıkıştırılmış veriler, özel bir kütüphane kullanılarak TCP soketleri aracılığıyla gönderilir.
{
    "path": "upload@",
    "method": "POST",
    "contentType": "application/json",
    "data": ""
}

Kötü amaçlı yazılımların her iki resmi uygulama mağazasındaki varlığı, gelişen tehdit manzarasını ve gelişmiş güvenlik önlemlerine duyulan ihtiyacı göstermektedir.

Kullanıcılara, özellikle resim galerileri gibi hassas verilere erişim isteyenler, uygulama izinleri konusunda dikkatli olmaları tavsiye edilir.

Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free



Source link