Şubat 2024’ten bu yana iOS ve Android platformlarında mobil cihaz kullanıcılarını hedefliyor ve siber güvenlik araştırmacıları, kripto para birimi kullanıcıları ve cihaz galerilerinde hassas bilgileri saklayan bireyler için belirli riskler oluşturan fotoğraf hırsızlığı yeteneklerinde önemli bir artış tanımlıyor.
Sparkkitty, mobil kötü amaçlı yazılım dağıtımında ilgili bir evrimi temsil eder ve şüphesiz kullanıcılara ulaşmak için hem Google Play hem de Apple’ın App Store’daki güvenlik önlemlerini başarıyla atlar.
Kötü amaçlı yazılım öncelikle Güneydoğu Asya ve Çin’deki kullanıcıları hedeflemektedir, ancak teknik mimarisi operasyonel kapsamı üzerinde coğrafi sınırlamalar getirmemektedir.
Kötü amaçlı yazılım kampanyası, dağıtım yöntemlerinde dikkate değer bir karmaşıklık gösterdi ve meşru uygulama mağazalarına, Google Play’den kaldırılmadan önce 10.000’den fazla indirme biriktiren kripto para ticareti özelliklerine sahip bir mesajlaşma platformu olan SOEX gibi uygulamalar aracılığıyla başarılı bir şekilde sızdı.
İOS cihazlarında, kötü amaçlı yazılım, AFNetWorking gibi meşru kütüphaneleri taklit eden hileli çerçevelere gömülürken, aynı zamanda Apple’ın bir kripto para izleme uygulaması gibi uygulamalar aracılığıyla Apple’ın işletme sağlama profillerini kullanıyor.
Kaspersky araştırmacıları, bu kampanyayı muhtemelen daha önce belgelenmiş Sparkcat kötü amaçlı yazılım ailesinin bir evrimini temsil ederek, siber suçlu kuruluşlar tarafından mobil hedefli saldırı vektörlerinin sürekli geliştirilmesini ve iyileştirilmesini gösterdi.
Sparkkitty kötü amaçlı yazılım
Sparkkitty’nin teknik uygulaması, tutarlı kötü niyetli hedefleri korurken platformlar arasında önemli ölçüde değişir:
Android Platform Uygulaması:
- Temel işlevsellik için Java ve Kotlin programlama dillerini kullanır.
- Kodu doğrudan güvenilir uygulamalara enjekte etmek için kötü niyetli Xposed modüllerinden yararlanır.
- Depolama izinleri talep eden meşru görünüşte uygulama ile enfeksiyon zincirini başlatır.
- Standart Android izin modeli aracılığıyla cihaz fotoğraf galerilerini hedefler.
iOS platformu uygulaması:
- Objective-C’nin yürütme için otomatik sınıf yükleme mekanizmasını kullanır.
- Kötü amaçlı yazılım aktivasyonunu tetikler
+[AFImageDownloader load]Uygulama lansmanı üzerine seçici. - Hedef uygulamasının Info.Plist’in belirli yapılandırma tuşlarını içermesini sağlayan doğrulama kontrollerini içerir.
- ECB modunda AES-256 şifrelemesini kullanarak BASE64 kodlu yapılandırmaların şifresini çözer.
- Aygıt fotoğraf galerilerine erişir ve yakalanan görüntüleri belirlenen API uç noktaları aracılığıyla komut ve kontrol sunucularına yükler.
- Yeni eklenen fotoğrafları otomatik olarak yakalamak için galeri değişikliklerinin kalıcı olarak izlenmesini sağlar.
Altyapı ve esneklik:
- Yük sunumu için AWS S3 ve Alibaba OSS dahil bulut hizmetlerini kullanır.
- Dağıtılmış altyapı yaklaşımı yoluyla yayından kaldırma çabalarını karmaşıklaştırır.
- Çeşitli coğrafi bölgelerde operasyonel sürekliliği sağlar.
Kapsamlı fotoğraf hırsızlığı
Sparkkitty, belirli görüntüleri seçici olarak hedeflemek için optik karakter tanıma teknolojisini kullanan selefi Sparkcat’a kıyasla tehdit kabiliyetinde önemli bir artışa değindi.
Mevcut kampanya, cihaz galerilerinden erişilebilir tüm fotoğrafları gelişigüzel bir şekilde yayarak kripto para birimi cüzdan tohum ifadeleri, kimlik belgeleri ve finansal kayıtlar dahil olmak üzere hassas bilgileri yakalama olasılığını önemli ölçüde artırıyor.
Kötü amaçlı yazılım, yeni eklenen içeriği çalmak için galeri değişikliklerini sürekli olarak izlerken, yüklenen görüntüleri izlemek ve yinelenen iletimleri önlemek için yerel veritabanlarını tutar.
Bu kapsamlı yaklaşım, özellikle kripto para birimi cüzdanı kurtarma ifadelerinin veya cihaz galerilerindeki diğer gizli bilgilerin ekran görüntülerini depolayan kullanıcıları etkileyen hassas veri maruziyeti potansiyelini önemli ölçüde artırır.
Güvenlik araştırmacıları, Sparkkitty’nin geleneksel veterinerlik süreçlerini atlama yeteneği göz önüne alındığında, resmi olarak yaptırım uygulanan uygulama mağazalarından bile, mobil uygulamaları indirirken, cihaz galerilerinde hassas ekran görüntülerinin depolanmasından ve artan incelemenin uygulanmasının kritik önemini vurgulamaktadır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.