Sparkcat olarak adlandırılan yeni bir kötü amaçlı yazılım kampanyası, kurbanların kripto para cüzdanlarıyla ilişkili anımsatıcı ifadelerini çalmak için hem Apple’ın hem de Google’ın ilgili uygulama mağazalarında sahte uygulamalardan yararlandı.
Saldırılar, fotoğraf kütüphanelerinden cüzdan kurtarma ifadeleri içeren seçkin görüntüleri bir komut ve kontrol (C2) sunucusuna eklemek için bir optik karakter tanıma (OCR) modelinden yararlanır.
Takım, bir analitik modülü olarak maskelenen Spark adlı bir Java bileşeni kullanan gömülü bir yazılım geliştirme kitine (SDK) bir referanstır. Şu anda enfeksiyonun bir tedarik zinciri saldırısının bir sonucu olup olmadığı veya geliştiriciler tarafından kasıtlı olarak tanıtıldığı bilinmemektedir.
Bu, OCR özelliklerine sahip Android kötü amaçlı yazılımlar vahşi doğada tespit edilmemiş olsa da, Apple’ın App Store’da böyle bir çalmanın bulunduğu ilk örneklerden biridir. Google Play’deki enfekte olmuş uygulamaların 242.000’den fazla indirildiği söylenir.
Kampanya, Mart 2024’ten bu yana, uygulamalar hem resmi hem de gayri resmi uygulama mağazaları aracılığıyla dağıtıldığı değerlendiriliyor. Yapay zeka (AI), gıda dağıtım ve Web3 uygulamaları olarak maskelenen uygulamalar, bazıları meşru işlevsellik sunuyor gibi görünse de.
Kaspersky, “Android kötü amaçlı yazılım modülü, Google’ın ML Kit Kütüphanesi ile inşa edilmiş bir OCR eklentisini şifresini çözecek ve başlatacak ve bunu galerideki görüntülerde bulunan metni tanımak için kullanacak.” Dedi. “C2’den alınan anahtar kelimelerle eşleşen görüntüler sunucuya gönderildi.”
Benzer bir şekilde, SparkCAT’ın iOS sürümü, anemonik ifadeler içeren görüntüleri çalmak için OCR için Google’ın ML Kit Kütüphanesine dayanmaktadır. Kötü amaçlı yazılımın dikkate değer bir yönü, mobil uygulamalarda nadiren gözlenen bir şey olan C2 için pas tabanlı bir iletişim mekanizması kullanmasıdır.
Kullanılan anahtar kelimelerin ve bu uygulamaların sunulduğu bölgelerin daha fazla analizi, kampanyanın öncelikle Avrupa ve Asya’daki kullanıcıları hedeflediğini göstermektedir. Kötü niyetli faaliyetin Çince akıcı bir tehdit aktörünün çalışması olduğu değerlendirildi.
Araştırmacılar, “Bu Truva atını özellikle tehlikeli kılan şey, uygulama içinde gizlenmiş kötü niyetli bir implantın göstergesi olmamasıdır.” Dedi. Diyerek şöyle devam etti: “Talep ettiği izinler, temel işlevselliği için ihtiyaç duyulan gibi görünebilir veya ilk bakışta zararsız görünebilir.”
Açıklama, Zimperium Zlabs’ın, WhatsApp aracılığıyla bankacılık ve hükümet başvuruları kisvesi altında kötü niyetli APK dosyalarını dağıtarak Hint Android cihaz sahiplerini hedefleyen başka bir mobil kötü amaçlı yazılım kampanyasını detaylandırarak uygulamaların hassas inceleme ve finansal bilgileri hasat etmesine izin vererek geliyor.
Siber güvenlik şirketi, kampanyaya bağlı 1.000’den fazla sahte uygulamayı belirlediğini ve saldırganların SMS mesajları ve bir kerelik şifreler (OTP’ler) için kabaca 1.000 sert kodlu telefon numarasını kullandığını söyledi.
“Bir kerelik şifre (OTP) hırsızlığı için yalnızca komut ve kontrol (C&C) sunucularına dayanan geleneksel bankacılık truva atlarının aksine, bu kötü amaçlı yazılım kampanyası, SMS mesajlarını yeniden yönlendirmek için canlı telefon numaralarını kullanır ve kolluk kuvvetleri için izlenebilir bir dijital iz bırakır. Bu kampanyanın arkasındaki tehdit aktörlerini izleyin, “dedi güvenlik araştırmacısı Aazim Yaswant.
FatboyPanel adlı saldırı kampanyasının, bugüne kadar herkesin kimlik doğrulaması için erişilebilir olan Firebase uç noktalarında barındırılan 2.5 GB hassas veri topladığı söyleniyor.
Bu, Hint bankalarından gelen SMS mesajları, banka detayları, kredi ve banka kartı bilgileri ve çoğunluğu Batı Bengal, Bihar, Jharkhand, Karnataka ve Madhya Pradesh.
Bu olaylar, resmi uygulama mağaza panellerine yüklenmiş olsalar bile, incelemeleri incelemek ve geliştiricilerin özgünlüğünü kontrol etmek de dahil olmak üzere, kod uygulamalarını düzgün bir şekilde denetlemenin önemi konusunda uyarıcı bir hikaye anlatıyor.
Güvenlik araştırmacısı Patrick Wardle’a göre, geliştirme ayrıca 2024’te 2024’te Apple MacOS sistemlerini hedefleyen 24 yeni kötü amaçlı yazılım ailesinin ortaya çıkmasını izliyor.
Bu, özellikle masaüstü işletim sisteminin kullanıcılarına yönelik Poseidon, Atomic ve Cthulhu içerenler gibi bilgi çalma saldırılarında bir artışla çakışır.
Palo Alto Networks Birimi 42 araştırmacıları Tom Fakterman, Chen Erlich ve Tom Sharon bu hafta yayınlanan bir raporda, “MacOS’tan yararlanan infostealers genellikle yerel elma metni çerçevesinden yararlanıyor,” dedi.
“Bu çerçeve kapsamlı işletim sistemi erişimi sağlar ve aynı zamanda doğal dil sözdizimi ile yürütmeyi de basitleştirir. Bu istemler meşru sistem istemlerine benzeyebileceğinden, tehdit aktörleri bu çerçeveyi sosyal mühendislik yoluyla kurbanları kandırmak için kullanırlar.”