App Store ve Play Store'daki SparkKitty Casus Yazılımı, Kripto Veriler İçin Fotoğrafları Çalıyor

Kaspersky'deki siber güvenlik araştırmacıları, SparkKitty adı verilen yeni bir casus yazılım operasyonunun, hem resmi Apple App Store'da hem de Google Play'de bulunan uygulamaları etkilediğini bildirdi.

Bu casus yazılım, kullanıcıların mobil cihazlarından tüm görüntüleri çalmayı hedefliyor ve kripto para birimi bilgilerini bulmaya odaklandığı düşünülüyor. Kampanya 2024'ün başından beri aktif ve esas olarak Güneydoğu Asya ve Çin'deki kullanıcıları hedef alıyor.

SparkKitty casus yazılımı, genellikle TikTok gibi popüler uygulamaların değiştirilmiş sürümleri gibi görünen, zararsız görünen uygulamalar aracılığıyla cihazlara sızar. Kötü amaçlı TikTok sürümleri durumunda, tüketim malları için kripto para birimini kabul eden ve genellikle erişim için bir davet kodu gerektiren sahte bir TikToki Mall çevrimiçi mağazasını bile uygulamaya dahil ettiler.

Kaspersky'nin raporuna göre, iOS cihazları için saldırganlar Apple'ın Geliştirici Programı'ndan özel bir Kurumsal sağlama profili kullanıyor. Bu, kötü amaçlı uygulamaları güvenilir gösteren sertifikaları iPhone'lara yüklemelerine ve doğrudan dağıtım için normal App Store inceleme sürecini atlatmalarına olanak tanıyor.

Ayrıca tehdit aktörleri, AFNetworking.framework ve Alamofire.framework gibi açık kaynaklı ağ kitaplıklarını değiştirerek kötü amaçlı kodlarını yerleştirdiler ve bunu libswiftDarwin.dylib olarak gizlediler.

Android tarafında, Kaspersky çeşitli kripto para ve casino uygulamalarında gizlenmiş SparkKitty casus yazılımı buldu. Kripto özelliklerine sahip bir mesajlaşma aracı olan bu tür bir uygulama, kaldırılmadan önce Google Play'den 10.000'den fazla kez indirildi.

Resmi mağazaların dışına yayılan başka bir virüslü Android uygulamasının App Store'a sızan benzer bir sürümü vardı. Her ikisi de kötü amaçlı kodu yalnızca ayrı bir bileşen olarak değil, doğrudan uygulamanın kendisinde içeriyordu.

SparkKitty casus yazılımının kurulduğunda asıl amacı, bir cihazın galerisindeki tüm fotoğraflara erişmek ve bunları çalmaktır. Görüntüleri genel olarak toplasa da, görüntülerden metin okuyan bir teknoloji olan Optik Karakter Tanıma ( OCR ) kullanan ve özellikle ekran görüntülerinden kripto para cüzdanı kurtarma ifadeleri gibi ayrıntıları bulup çalan SparkCat adlı eski casus yazılıma bağlı görünüyor.

SparkKitty'nin bazı sürümleri bu amaçla OCR'yi de kullanır ve özellikle dolandırıcılık ve Ponzi şemalarına benzeyen şüpheli web sayfaları aracılığıyla dağıtılan uygulamalarda bu işlev için Google ML Kit kütüphanesinden yararlanır.

Kaspersky, SparkKitty casus yazılımının Ocak 2025'te keşfedilen ve hem resmi hem de resmi olmayan uygulama pazar yerleri aracılığıyla benzer dağıtım yöntemlerini paylaşan önceki SparkCat kampanyasıyla doğrudan bağlantılı olduğuna inanıyor. Her iki tehdit de kripto para hırsızlığına odaklanmış görünüyor. SparkKitty casus yazılımının arkasındaki saldırganlar, genellikle değiştirilmiş kumar ve yetişkin oyunları ve sahte TikTok uygulamaları aracılığıyla Güneydoğu Asya ve Çin'deki kullanıcıları hedef aldı.

Üçüncü taraf mağazalardan uygulama indirmek her zaman riskli olsa da, bu keşif resmi uygulama mağazaları gibi güvenilir kaynakların bile artık tamamen güvenilir kabul edilemeyeceğini gösteriyor. Etkilenen bölgelerdeki ve hatta küresel olarak kullanıcılar, uygulama izinleri konusunda dikkatli olmalı ve özellikle fotoğraf galerilerine alışılmadık erişim isteyen herhangi bir uygulamanın meşruiyetini göz önünde bulundurmalıdır.