Sparkkitty olarak bilinen sofistike bir Trojan kötü amaçlı yazılım, 2024’ün başlarından beri iOS ve Android cihazlarını aktif olarak hedefliyor ve kullanıcıların cihaz galerilerinden görüntüleri çalmak için hem resmi uygulama mağazalarına hem de güvenilmeyen web sitelerine sızıyor.
Önceki SparkCAT operasyonunun bir evrimi gibi görünen bu kötü amaçlı yazılım kampanyası, kripto para birimi cüzdanı tohum ifadelerini ve diğer hassas görsel verileri yakalamaya odaklanarak kişisel fotoğrafları ortaya çıkarmadan önce Güneydoğu Asya ve Çin’deki kullanıcılar için önemli tehditler oluşturmaktadır.
Sparkkitty, görünüşte meşru kanallar aracılığıyla kullanıcılara ulaşmak için uygulama mağazası veterinerlik süreçlerini başarıyla atlayarak dağıtım yöntemlerinde dikkate değer bir sofistike olduğunu göstermiştir.
Kötü amaçlı yazılım, google Play Store ve Apple’ın App Store’da bulunan uygulamalarda yerleşik olarak, 币 madeni para (bir kripto para birimi izleyici) ve SOEX (kripto para ticaret özelliklerine sahip bir mesajlaşma platformu) gibi uygulamalar da dahil olmak üzere keşfedildi.
SOEX uygulaması, Google Play’den kaldırılmadan önce 10.000’den fazla indirme kazandı ve kötü amaçlı yazılımların güvenilir platformlar aracılığıyla yaygın dağıtım elde etme yeteneğini vurguladı.
İOS cihazlarında, Sparkkitty, kurumsal uygulama dağıtım için tasarlanmış ancak Apple’ın standart inceleme sürecinin dışındaki kötü niyetli uygulamaları kenar yüklemek için istismar edilebilen kurumsal sağlama profillerini kullanır.
Bu teknik, kötü amaçlı yazılımların geleneksel güvenlik önlemlerini atlatmasına ve Apple’ın küratörlüğünü uygulama ekosisteminin başka türlü koruyabileceği kullanıcılara ulaşmasına olanak tanır.
Teknik yetenekler ve yürütme
Kötü amaçlı yazılım, her iki işletim sisteminde de tutarlı gizli yetenekleri korurken platforma özgü yürütme stratejileri gösterir.
Sparkkitty Android varyantları, Java ve Kotlin programlama dilleri kullanılarak geliştirilir ve bazı sürümler, kod enjekte etmek için kötü niyetli Xposed modüllerden yararlanır.
Bu varyantlar, uygulama başlatma veya belirli kullanıcı etkileşimleri üzerine etkinleştirilir ve daha sonra cihaz görüntülerine erişmek için depolama izinleri ister.
İOS cihazları için Sparkkitty, Objective-C’nin otomatik sınıf yükleme mekanizmasını kullanır. +[AFImageDownloader load] Uygulama lansmanından hemen sonra tetiklenen seçici.
Kötü amaçlı yazılım, yürütmenin yalnızca amaçlanan ortamlarda gerçekleşmesini sağlamak için gelişmiş doğrulama kontrolleri içerir ve kötü amaçlı etkinliklerine devam etmeden önce uygulamanın bilgileri belirli yapılandırma anahtarları için plist dosyasını incelemektedir.
Belirli görüntüleri seçici olarak hedeflemek için optik karakter tanıma (OCR) teknolojisi kullanan selefinin aksine, Sparkkitty, cihaz galerilerinden erişilebilir tüm fotoğrafları yayarak daha agresif bir yaklaşım benimsiyor.
Bu kapsamlı veri hırsızlığı stratejisi, kripto para birimi cüzdan tohumu ifadeleri, kişisel kimlik belgeleri ve finansal kayıtlar dahil olmak üzere hassas bilgileri yakalama olasılığını önemli ölçüde artırır.
Kötü amaçlı yazılım, daha önce yüklenen resimleri izlemek için yerel bir veritabanı tutar ve yeni eklenen içeriği çalmak için galeri değişikliklerini sürekli olarak izler.
Toplandıktan sonra, yük dağıtım ve veri söndürme için AWS S3 ve Alibaba OSS dahil bulut altyapısı kullanılarak ‘/api/putimages’ bitiş noktası aracılığıyla komut ve kontrol sunucularına görüntüler yüklenir.
Coğrafi hedefleme ve kullanıcı etkisi
Sparkkitty’nin kampanyası, Güneydoğu Asya ve Çin’deki kullanıcılara stratejik olarak odaklanmış ve bu bölgesel izleyiciler için özel olarak uyarlanmış uygulamalarla uyumludur.
Kötü amaçlı yazılım, kripto para birimi, kumar ve yetişkin eğlencesi ile ilgili uygulamalarda, truva atı tiktok modifikasyonları da dahil olmak üzere keşfedilmiştir ve kullanıcıların hassas görsel bilgileri depolama olasılığının daha yüksek olabileceği yüksek riskli uygulama sektörlerinin kasıtlı olarak hedeflenmesini önermektedir.
Sparkkitty’nin ortaya çıkışı, mobil kötü amaçlı yazılım sofistike önemli bir artışı temsil ederek, tehdit aktörlerinin güvenilir uygulama dağıtım kanallarına nasıl başarılı bir şekilde sızabileceğini gösteriyor.
Kullanıcılar, özellikle kripto para birimi veya finansal hizmetlerle ilgili uygulamaları indirirken çok dikkatli olmalı ve cihaz galerilerinde hassas ekran görüntülerini saklamaktan kaçınmalıdır.
Kötü amaçlı yazılımların hem Google Play hem de App Store güvenlik önlemlerini atlama yeteneği, artan mobil güvenlik bilinci ve koruyucu önlemler için kritik ihtiyacı vurgulamaktadır.
IOC’ler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önetilen Güvenlik Hizmetleri’nin gerçekten maliyetini ve sınırlı koruma için fazla ödeme yapmayı nasıl önleyeceğinizi öğrenin => İndir Kılavuz