Kaspersky’deki siber güvenlik araştırmacıları, hem resmi Apple App Store hem de Google Play’de bulunan uygulamaları enfekte eden Sparkkitty olarak adlandırılan yeni bir casus yazılım işlemi bildirdi.
Bu casus yazılım, kripto para birimi bilgilerini bulmaya odaklanarak kullanıcıların mobil cihazlarından tüm görüntüleri çalmayı amaçlamaktadır. Kampanya, 2024’ün başından beri aktif olarak, çoğunlukla Güneydoğu Asya ve Çin’deki kullanıcıları hedefliyor.
Sparkkitty casus yazılım, zararsız görünen, genellikle popüler uygulamaların değiştirilmiş sürümleri olarak gizlenmiş uygulamalar aracılığıyla cihazlara sızar. Tiktok. Kötü niyetli Tiktok versiyonları durumunda, uygulamaya tüketici malları için kripto para birimini kabul eden ve genellikle erişim için bir davet kodu gerektiren sahte bir Tiktoki Mall çevrimiçi mağazası bile içeriyordu.
İOS cihazlarını hedefleme
Kaspersky’s’e göre raporiOS cihazları için, saldırganlar Apple’ın geliştirici programından özel bir işletme sağlama profili kullanıyor. Bu, kötü amaçlı uygulamaların güvenilir görünmesini sağlayan iPhone’lara sertifikalar yüklemelerini sağlar ve doğrudan dağıtım için normal uygulama mağazası inceleme işlemini atlar.
Ayrıca, tehdit aktörleri, açık kaynaklı ağ kütüphanelerini değiştirerek kötü niyetli kodlarını yerleştirdiler. AFNetworking.framework Ve Alamofire.frameworkve ayrıca gizledim libswiftDarwin.dylib.
Android Cihazları Hedefleme
Android tarafında, Kaspersky çeşitli kripto para birimi ve casino uygulamalarında gizlenmiş Sparkkitty casus yazılımları buldu. Böyle bir uygulama, kripto özelliklerine sahip bir mesajlaşma aracı, 10.000’den fazla kez indirildi. Google Play kaldırılmadan önce.
Resmi mağazaların dışına yayılmış bir başka enfekte Android uygulaması, App Store’a giren benzer bir sürüme sahipti. Her ikisi de doğrudan ayrı bir bileşen olarak değil, uygulamanın kendisi içindeki kötü amaçlı kodu içeriyordu.
Kurulduktan sonra Sparkkitty Spyware’in ana hedefi, bir cihazın galerisinden tüm fotoğraflara erişmek ve çalmaktır. Görüntüleri geniş ölçüde toplarken, optik karakter tanıma ((OCR), bir teknoloji okuma Görüntülerden metin – Ekran görüntülerinden kripto para birimi cüzdan kurtarma ifadeleri gibi ayrıntıları özellikle bulmak ve çalmak için.
Sparkkitty’nin bazı sürümleri de bu amaç için OCR kullanarak Google’dan yararlanarak ML Kit Kütüphanesi Bu işlev için, özellikle dolandırıcılıklara benzeyen gölgeli web sayfaları aracılığıyla dağıtılan uygulamalarda ve Ponzi Şemaları.
Bağlı kampanyalar ve hedefler
Kaspersky, Sparkkitty casus yazılımının doğrudan önceki SparkCAT kampanyasına bağlı olduğuna inanıyor, keşfedilmiş Ocak 2025’te, hem resmi hem de resmi olmayan uygulama pazarları aracılığıyla benzer dağıtım yöntemlerini paylaşmak. Her iki tehdit de kripto para hırsızlığına odaklanmış gibi görünüyor. Sparkkitty casus yazılımların arkasındaki saldırganlar, Güneydoğu Asya ve Çin’deki kullanıcıları, genellikle değiştirilmiş kumar ve yetişkin oyunları ve aynı zamanda hedefledi. Sahte Tiktok Uygulamaları.
Üçüncü taraf mağazalardan uygulamalar indirmek her zaman riskli olsa da, bu keşif resmi uygulama mağazaları gibi güvenilir kaynakların bile artık tamamen güvenilir sayılamayacağını göstermektedir. Etkilenen bölgelerdeki ve gerçekten de küresel olarak kullanıcılar, uygulama izinleri konusunda temkinli kalmalı ve özellikle fotoğraf galerilerine alışılmadık erişim isteyen herhangi bir uygulamanın meşruiyetini göz önünde bulundurmalıdır.