Kaspersky araştırmacıları, Apple’s ve Google’ın resmi uygulama mağazalarındaki bir dizi iOS ve Android uygulaması, Cryptowallets’in tohum kurtarma ifadelerini sunmalarını sağlayan bir Yazılım Geliştirme Kiti (SDK) içeriyor.
“Google Play’deki enfekte uygulamalar 242.000’den fazla indirilmişti. Apple’ın App Store’da ilk kez bir çalma bulundu ”dedi.
Uygulamalar ayrıca resmi olmayan uygulama mağazaları aracılığıyla da itildi.
Kötü niyetli SDK: Ne yapar? Kim yaptı?
Kötü niyetli SDK/çerçeve, bileşenlerinden birinden sonra Spark olarak adlandırıldı. Başladıktan sonra, bir GitLab URL’sinden bir yapılandırma dosyası indirmeye çalışır ve başarısız olursa varsayılan ayarları kullanır.
“Bir yapılandırma indirildikten sonra Spark, bir yükü varlıklardan şifresini çözer ve ayrı bir iş parçacığında yürütür. Yük (…), Google’ın ML Kit Kütüphanesi’ndeki TexTrecognizer arayüzü için bir sarıcıdır. Farklı OCR yüklüyor [optical character recognition] Görüntülerde Latin, Korece, Çince veya Japon karakterlerini tanımak için sistem diline bağlı modeller. ”
SDK, Cihaz Bilgilerini Komut ve Kontrol (C2) sunucusuna gönderir ve daha fazla kötü amaçlı yazılım faaliyetlerini kontrol eden bir nesne ile yanıt verir (örn., Kötü amaçlı yazılımların çalışmaya devam etmesine izin veren değişiklikler yapar).
Kullanıcı destek ekibiyle her sohbet başlattığında, SDK Springs’i harekete geçirir ve cihazın resim galerisine erişmek ister.
“Erişim verilirse, SDK ana işlevselliğini çalıştırır. Bu, bir istek göndermekle başlar /api/e/config/rekognition C2’de ve OCR işlemek için parametreler almak bir yanıtla sonuçlanır. Bu parametreler, görüntüleri OCR tarafından tanınan kelimelerle filtreleyen işlemci sınıfları tarafından kullanılır ”dedi.
“Kendimize saldırganların ne tür görüntüler aradığını sorduk. Bunu öğrenmek için, C2 sunucularından OCR tabanlı arama için anahtar kelimelerin bir listesini istedik. Her durumda Çin, Japon, Korece, İngilizce, Çek, Fransızca, İtalyanca, Lehçe ve Portekizce sözleri aldık. Tüm terimler, saldırganların finansal olarak motive edildiğini, özellikle de kripto para cüzdanlarına erişimi yeniden kazanmak için kullanılabilecek ‘anemonikler’ olarak da bilinen kurtarma ifadelerini hedeflediğini gösterdi. ”
Kötü amaçlı yazılım, cihazların galerisinde saklanan fotoğrafları alır ve bunları C2 sunucusuna yükler, ancak seçici olarak yapar.
Saklanan görüntülerde aranan anahtar kelimeler (Kaynak: Kaspersky)
Uygulama mağazasındaki iOS uygulamalarında aynı SDK’yı (değişen özellikler ve farklı adlarla) keşfettikten sonra, analiz ettiler ve SDK’nın yaratıcısına işaret eden bilgiler buldular.
Koddaki yorumlar ve C2 hata mesajları Çince. “Bunlar, iOS’a özgü sürümü analiz ederken elde ettiğimiz çerçeve geliştiricisinin ana dizininin adı ile birlikte kötü niyetli modülün yaratıcısının akıcı Çince konuştuğunu gösteriyor. Bununla birlikte, kampanyayı bilinen bir siber suç çetesine atfetmek için yeterli verimiz var. ”
Bu kripto yönlendirme iOS ve Android kötü amaçlı yazılımlarla kim hedefleniyor?
Araştırmacılar, bulabilecekleri kötü niyetli SDK’nın en eski versiyonunun 15 Mart 2024’te inşa edildiğini söylüyor.
Aynı zamanda, ESET araştırmacıları, panolarda kopyalanan içeriği (örn. Çeşitli bilgi türlerini kopyalarken kopyalarken) ve metni tanımak için optik karakter tanıma OCR kullanabilen Windows ve Android için truva atlı WhatsApp ve Telegram uygulamaları hakkında uyardı. – Daha spesifik olarak, ödün verilen cihazlarda saklanan ekran görüntülerinden kripto para birimi cüzdan kurtarma ifadeleri.
Bu uygulamalar, taklitçi telgraf ve WhatsApp web siteleri aracılığıyla indirilmek üzere sunuldu ve potansiyel kurban, bölüm hakkında taklitçi sayfalarına bağlantılar içeren YouTube videolarına işaret eden kötü amaçlı Google arama reklamları aracılığıyla onlara yönlendirildi.
“Telegram, WhatsApp ve Google Play uygulamasının Çin’de engellenmesi mümkündür, Android kullanıcıları resmi olarak kullanılamayan uygulamalar elde etmek istiyorlarsa birkaç çemberden atlamak için kullanılırlar. Siber suçlular bunun farkındalar ve kurbanlarını en başından beri sürdürmeye çalışıyor-kurban Google’ı bir whatsapp veya telgraf uygulaması için aradığında, ”dedi.
Kaspersky’nin Sparkcat olarak adlandırılan bu son kampanya, potansiyel hedeflerin daha geniş bir çekimine ulaşabildi.
OCR tabanlı arama için anahtar kelimelere dayanarak, SDK yaratıcısı, Çin dahil birçok Avrupa ve Asya ülkesindeki kullanıcılara ait Cryptowallets’in peşindedir. Kötü niyetli SDK’lı uygulamalardan bazıları Zimbabve ve Birleşik Arap Emirlikleri gibi Afrika ve Orta Doğu ülkelerinde de kullanılmaktadır.
“Kesin olarak onaylayamayız [malicious SDK getting embedded in those apps] bir tedarik zinciri saldırısı veya geliştiriciler tarafından kasıtlı bir eylem sonucuydu. Gıda dağıtım hizmetleri gibi bazı uygulamalar meşru görünüyordu, oysa diğerleri kurbanları cezbetmek için inşa edilmişti ”dedi.
Ayrıca, kötü niyetli SDK’nın hoş karşılanmayan mobil uygulama geliştiricileri tarafından uygulanması da mümkündür, çünkü hoş geldiniz işlevselliği sağlar.
Kurbanlar ne yapmalı?
Araştırmacılar, kötü amaçlı yazılımların resmi uygulama mağazalarına ulaşmak için güvenlik taramasını nasıl geçmeyi başardığını görmek kolay. Uygulamaların taleplerinin mantıklı ve kötü niyetli SDK çok gizlidir: C2 alanları genellikle meşru hizmetleri taklit eder, SDK ağır bir şekilde gizlenir ve bazı durumlarda hemen harekete geçmez.
Kaspersky uzlaşma göstergelerini paylaştı ve kötü niyetli SDK içeren Android ve iOS uygulamalarının adlarını listeledi. Listede gıda dağıtım, AI chatbot, kripto para değişimi/cüzdanı, ödeme, haberler, VPN, mesajlaşma ve spor uygulamaları yer alıyor.
Araştırmacılar, Google ve Apple rahatsız edici uygulamaların çoğunu mağazalarından kaldırmış olsa da, bazıları hala orada bulunabilir.
Android ve iOS kullanıcıları, bu uygulamalardan bir veya daha fazlasını yükleyip yüklemediklerini ve bunları kaldırmak için kontrol etmek için iyi olurlar. Cihazı temizlemek için mobil güvenlik yazılımını kullanmak tavsiye edilir ve bu nedenle hassas bilgilerin ekran görüntülerini yapmaktan ve şifrelenmemiş olarak depolamaktan kaçınmaktır. (Şifre yöneticileri bu konuda yardımcı olmalıdır.)