Sparkkitty olarak adlandırılan sofistike bir casus yazılım kampanyası, hem iOS hem de Android kullanıcıları için önemli bir tehdit olarak ortaya çıktı ve Google Play ve App Store gibi resmi uygulama mağazalarına bile sızdı.
İlk olarak, Kripto Cüzdan tohumu ifadelerini hedefleyen Ocak 2025’ten itibaren önceki Sparkcat kampanyasıyla bağlantılı olarak tespit edilen Sparkkitty, o zamandan beri daha geniş bir casusluk operasyonuna dönüştü.
Yeni casus yazılım dalgası resmi uygulama mağazalarına sızıyor
En azından Şubat 2024’ten bu yana aktif olan bu kötü amaçlı yazılımlar, gayri resmi kaynaklar ve güvenilir platformlar aracılığıyla dağıtılan uygulamalarda bulunarak, özellikle cihaz galerilerinden görüntüler olmak üzere hassas verileri çalmak için kullanıcı güvenini kullanmıştır.
.png
)
Google Play’den çıkarılmasına ve Apple’a bildirilmesine rağmen, resmi mağazalarda bu tür tehditlerin varlığı, mobil ekosistemleri gelişmiş kötü amaçlı aktörlere karşı güvence altına almanın sürekli zorluğunun altını çiziyor.
Sparkkitty, platformlar arasında cihazları tehlikeye atmak için bir dizi teknik strateji kullanır.
İOS’ta, kötü amaçlı yazılım, afnetworking.framework veya Alamofire.Framework gibi meşru kütüphaneleri taklit eden kötü amaçlı çerçeveler olarak veya libswiftdarwin.dylib olarak gizlenmiş gizlenmiş kütüphaneler olarak gömülüdür.
Rapora göre, bu bileşenler genellikle Apple’ın Güvenlik kısıtlamalarını atlayarak yetkisiz uygulama yüklemelerini mümkün kılmak için kurumsal sağlama profillerini kullanıyor.
Android’de, casus yazılım hem Java hem de Kotlin varyantlarında görünür, ikincisi uygulama giriş noktalarına bağlanan kötü amaçlı bir Xposed modülü olarak tezahür eder.
Teknik sofistike
Kötü amaçlı yazılım genellikle cihazın galerisine erişim, tüm görüntüleri tüketmeyi veya belirli içeriği hedeflemek için OCR teknolojisini seçici olarak kullanmayı talep eder.
Dağıtım yöntemleri, Tiktoki Mall gibi şüpheli çevrimiçi mağazaları, resmi mağazaları taklit eden sahte uygulama indirme sayfalarını ve hatta 币 Coin ve SOEX gibi kripto temalı uygulamaları içeren eşit derecede aldatıcıdır.
Bazıları Google Play’e 10.000’den fazla kez yüklenen bu uygulamalar, komut ve kontrol (C2) adreslerini dinamik olarak güncelleyerek gizli ve uyarlanabilirliklerini geliştirmek için uzak sunuculardan şifreli yapılandırmalar getirir.
Öncelikle Güneydoğu Asya ve Çin’deki kullanıcıları hedefleyen kampanya, teknik tasarımı küresel bir tehdit oluşturmasına rağmen, Çin kumar oyunları ve Tiktok modları gibi kültürel olarak alakalı uygulamalardan yararlanıyor.
Sparkkitty, selefi Sparkcat gibi kripto varlıklarını açıkça hedeflemese de, görüntülere odaklanma, cüzdan tohumu ifadelerinin ekran görüntüleri gibi hassas verileri yakalama niyetini öneriyor.
Enfekte edilmiş uygulamalara gömülü olan kripto mağazalar ve dağıtım ağının kripto para birimi dolandırıcılığı ile bağları da dahil olmak üzere ek kanıtlar bu hipotezi güçlendirir.
Kötü amaçlı yazılımların resmi uygulama mağazalarına sızma yeteneği, tehdit aktörleri geliştirici araçlarını kullandığı ve casusluk araçlarını büyük ölçekte dağıtmak için kullanıcı güvenini kullandıkça mobil güvenlikte kritik bir güvenlik açığını vurgular.
2024’ten bu yana devam eden bu kampanya, kavramda karmaşıklık eksikliği, ancak yüksek derecede kalıcılık ve uyarlanabilirlik göstermektedir, bu da kişisel veri güvenliği için zorlu bir risk haline getirmektedir.
Uzlaşma Göstergeleri (IOC)
| Kategori | Örnek karmalar/url’ler |
|---|---|
| Enfekte Android uygulamaları | B4489CB4FAC743246F29ABF7F605DD15, E8B60BF5AF2D5CC5C501B87D04B8A6C2 |
| Enfekte iOS uygulamaları | 21EF7A14FEE3F64576F5780A637C57D1, 6D39CD8421591FBBB0CC2A0BCE4D0357D |
| Kötü niyetli iOS çerçeveleri | 8C9A93E829CBA8C4607A7265E6988646, B308CD623B5FD6561E96D6FD733413 |
| C2 Sunucular | 23.249.28.88, 120.79.8.107 |
| Yapılandırma URL’leri | hxxp: //120.78.239.17: 10011/req.txt, hxxps: //sdk-data-re.oss-accelerate.aliyuncs.com |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin