Google Play Store ve Apple App Store’daki Android ve iOS uygulamaları, Optik Karakter Tanıma (OCR) çalıcılar kullanarak kripto para birimi cüzdanı kurtarma cümlelerini çalmak için tasarlanmış kötü amaçlı bir yazılım geliştirme kiti (SDK) içerir.
Kampanya, enfekte olmuş uygulamalardaki kötü amaçlı SDK bileşenlerinden birinin adından sonra (“Spark”) “Sparkcat” olarak adlandırılır ve geliştiriciler muhtemelen operasyona bilerek katılmaz.
Kaspersky’ye göre, tek başına Google Play’de, indirme numaralarının herkese açık olduğu, enfekte olmuş uygulamalar 242.000 kez indirildi.
Kaspersky, “Bazıları Google Play ve App Store’da mevcut olan kripto cüzdan kurtarma cümlelerini çalmak için gömülü kötü amaçlı bir SDK/çerçeveye sahip Android ve iOS uygulamalarını bulduk.”
“Enfekte uygulamalar Google Play’den 242.000’den fazla indirildi. Bu, App Store’da bulunan ilk bilinen bir stealer örneği.”
Spark SDK Kriptinizi Çalmak
Enfekte Android uygulamalarındaki kötü amaçlı SDK, bir analitik modülü olarak gizlenmiş “Spark” adlı kötü amaçlı bir Java bileşeni kullanır. GitLab’da depolanan, komutlar ve operasyonel güncellemeler sağlayan şifreli bir yapılandırma dosyası kullanır.
İOS platformunda, çerçevenin “GZIP”, “GoogleAppSDK” veya “Stat” gibi farklı isimleri vardır. Ayrıca, komut ve kontrol (C2) sunucuları ile iletişimi işlemek için “IM_NET_SYS” adlı pas tabanlı bir ağ modülü kullanır.
Modül, cihazdaki görüntülerden metin çıkarmak için Google ML Kit OCR kullanır ve şifreyi bilmeden saldırganların cihazlarına kripto para birimi cüzdanlarını yüklemek için kullanılabilecek kurtarma ifadelerini bulmaya çalışır.
Kaspersky, “Bu (kötü niyetli bileşen), Latince, Korece, Çince ve Japon karakterlerini resimlerde ayırt etmek için sistemin diline bağlı olarak farklı OCR modelleri yüklüyor.”
“Ardından, SDK cihaz hakkında bilgi / API / E / D / U yol boyunca komut sunucusuna yükler ve yanıt olarak, kötü amaçlı yazılımın sonraki çalışmasını düzenleyen bir nesne alır.”
Kaynak: Kaspersky
Kötü amaçlı yazılım, bölge başına değişen farklı dillerde (Avrupa, Asya, vb.) Belirli anahtar kelimeler kullanarak sırlar içeren görüntüleri arar.
Kaspersky, bazı uygulamalar bölgeye özgü hedefleme gösterirken, belirlenen coğrafi alanların dışında çalışma olasılığının hariç tutulamayacağını söylüyor.
Enfekte uygulamalar
Kaspersky’ye göre, on sekiz enfekte Android ve 10 iOS uygulaması var, birçoğu hala ilgili uygulama mağazalarında mevcut.
Kaspersky tarafından enfekte olduğu bildirilen uygulamalardan biri, 50.000’den fazla kez yüklenen Android Chatai uygulamasıdır. Bu uygulama artık Google Play’de mevcut değil.
Kaynak: Kaspersky
Kaspersky’nin raporunun sonunda etkilenen uygulamaların tam bir listesi bulunabilir.
Bu uygulamalardan herhangi birinde cihazlarınızda yüklü varsa, bunları hemen kaldırmanız ve kalıntıları taramak için bir mobil antivirüs aracı kullanmanız önerilir. Bir fabrika sıfırlaması da dikkate alınmalıdır.
Genel olarak, ekran görüntülerinde kripto para birimi cüzdan kurtarma ifadelerinin depolanması önlenmesi gereken bir uygulamadır.
Bunun yerine, bunları fiziksel çevrimdışı medyada, şifrelenmiş çıkarılabilir depolama cihazlarında veya kendi kendine barındırılan, çevrimdışı şifre yöneticilerinin kasasında saklayın.
BleepingComputer, Apple ve Google ile ilgili uygulama mağazalarında listelenen uygulamaların varlığı hakkında yorum isteği ile iletişime geçti ve bu gönderiyi yanıtlarıyla güncelleyeceğiz.