Siber güvenlik araştırmacıları, hem Apple’ın App Store hem de Google Play Store’u başarıyla sızan ve resmi kanallar aracılığıyla mobil kötü amaçlı yazılım dağıtımında önemli bir yükseliş işaret eden Sparkkitty adlı sofistike yeni bir casus yazılım kampanyası ortaya çıkardılar.
Summary
1. SparkKitty is a recently uncovered malware that infects both iOS and Android devices through malicious apps in the App Store and Google Play.
2. Securelist analysts found that SparkKitty’s main goal is to steal all images from victims’ galleries, hoping to capture sensitive data like crypto wallet phrases.
3. The malware uses disguised frameworks and obfuscated code for infection and persistence, communicating with command servers to exfiltrate data.
4. The campaign has targeted users mainly in Southeast Asia and China since early 2024 and remains active, posing serious privacy and financial risks.Bu Truva Casusu, kripto para odaklı saldırılardaki en son evrimi temsil ederek, daha önce keşfedilen Sparkcat kampanyasına dayanarak her iki büyük mobil platformda da erişimini genişletiyor.
Kötü amaçlı yazılım, sadece resmi uygulama mağazaları aracılığıyla değil, aynı zamanda gayri resmi kaynaklar ve değiştirilmiş uygulamalar aracılığıyla yayılan saldırı vektörlerinde olağanüstü çok yönlülük gösterir.
.png
)
.webp)
Sparkkitty, güvenlik önlemlerini atlamak ve mağdur cihazlara kalıcı erişim sağlamak için platforma özgü teknikler kullanarak hem iOS hem de Android cihazları aynı anda hedefler.
.webp)
Kampanya, en azından Şubat 2024’ten beri, tehdit aktörlerinin mobil kullanıcıları küresel olarak tehlikeye atma konusunda sürekli ve koordineli bir çabayı gösteren aktif.
Securelist araştırmacılar, Sparkkitty’nin enfeksiyon potansiyelini en üst düzeye çıkarmak için birden fazla dağıtım yöntemi kullandığını belirtti.
İOS cihazlarında, kötü amaçlı yük yükü, afnetworking.framework veya alamofire.framework gibi meşru ağ kütüphanelerini taklit eden çerçeveler aracılığıyla teslim edilirken, aynı zamanda libswiftdarwin.dylib gibi sistem bileşenleri olarak gizlenmiş gizlenmiş kütüphaneleri kullanır.
.webp)
Android varyantı hem Java hem de Kotlin uygulamalarında çalışır, bazı sürümler uygulama giriş noktalarına bağlanan kötü amaçlı Xposed modüller olarak işlev görür.
.webp)
Sparkkitty’nin birincil amacı, özellikle kripto para birimi cüzdanı tohum ifadeleri içeren görüntülere odaklanan enfekte cihazlarda depolanan fotoğrafların çalınması gibi görünmektedir.
Belirli içeriği seçici olarak hedeflemek için optik karakter tanımasını kullanan selefi Sparkcat’in aksine, Sparkkitty, cihaz galerilerinden erişilebilir tüm görüntüleri gelişigüzel bir şekilde çalarak daha kapsamlı bir yaklaşım benimser.
Bu daha geniş toplama stratejisi, saldırganların potansiyel olarak değerli finansal bilgileri yakalamak için daha geniş bir ağ oluşturduğunu göstermektedir.
Kampanya, Çin kumar oyunları, Tiktok modifikasyonları ve yetişkin odaklı uygulamalar da dahil olmak üzere bu bölgeler için özel olarak tasarlanmış uygulamalar aracılığıyla Güneydoğu Asya ve Çin’deki kullanıcıları hedefleyen önemli coğrafi odak gösterdi.
Bu bölgesel hedefleme, enfekte olmuş uygulamaların çoğuna gömülü kripto para birimi temalarıyla uyumludur, bu da tehdit aktörlerinin amaçlanan kurban demografik özellikleri hakkında samimi bilgiye sahip olduklarını düşündürmektedir.
Teknik uygulama ve kalıcılık mekanizmaları
Her iki platformda uygulama ayrıntılarını incelerken Sparkkitty’nin teknik karmaşıklığı belirginleşir.
İOS cihazlarında, kötü amaçlı yazılım, özel C’nin otomatik sınıf yükleme mekanizmasını özel olarak kullanır. load Uygulamalar başlatıldığında otomatik olarak yürütülen seçici.
Kötü niyetli etkinlik için giriş noktası, değiştirilmiş +[AFImageDownloader load] Seçici, meşru afnet çalışma uygulamalarında bulunmayan bir işlev.
Kötü amaçlı yazılım, yükünü etkinleştirmeden önce çok aşamalı bir doğrulama işlemi uygular. İlk olarak ccool Uygulamanın Info.Plist Yapılandırma Dosyası’ndaki anahtar belirli dizeyle eşleşir 77e1a4d360e17fdbc.
Bu, istenmeyen ortamlarda kazara yürütmeyi önlemek için ilk kimlik doğrulama mekanizması olarak hizmet eder.
Başarılı doğrulamayı takiben Sparkkitty ccc AES-256 ECB modunda sert kodlanmış anahtarla şifrelemeyi kullanarak anahtar p0^tWut=pswHL-x>>:m?^.^)W.
Şifre çözülmüş yapılandırma, pesfiltrasyon işlemini kolaylaştıran komut ve kontrol sunucusu adresleri içerir.
Fotoğraf hırsızlığı operasyonlarına başlamadan önce, kötü amaçlı yazılım, C2 altyapısıyla iletişim kurar. /api/getImageStatus Son nokta, uygulama ayrıntılarını ve kullanıcı tanımlama bilgilerini aktarma.
Sunucu, fotoğraf yüklemesinin devam edip etmeyeceğini belirleyen yetkilendirme kodları içeren bir JSON yapısı ile yanıt verir.
Yetkilendirildikten sonra Sparkkitty, cihazın fotoğraf galerisine sistematik olarak erişir, daha önce çalınan görüntülerden oluşan yerel bir veritabanını tutar ve yeni fotoğraflar yükler. /api/putImages Çok partili form veri iletimi kullanılarak bitiş noktası.
Are you from SOC/DFIR Teams! - Interact with malware in the sandbox and find related IOCs. - Request 14-day free trial