App Store ve Google Play'de insanları hedef alan yeni bir casus yazılım keşfedildi

Kaspersky uzmanları, 26 Haziran'da iOS ve Android işletim sistemli akıllı telefonlara saldırmak ve enfekte telefonlardan saldırganın sunucusuna görüntü ve cihaz bilgileri göndermek üzere tasarlanmış SparkKitty adlı yeni bir casus yazılım keşfettiklerini duyurdu.

SparkKitty, kripto para birimleri ve kumarla ilgili içerik barındıran uygulamalara ve TikTok uygulamasının sahte bir sürümüne yerleştirildi. Bu uygulamalar yalnızca App Store ve Google Play aracılığıyla değil, aynı zamanda sahte web siteleri aracılığıyla da dağıtıldı.

Uzmanların analizlerine göre, bu kampanyanın amacı Güneydoğu Asya ve Çin'deki kullanıcılardan kripto para çalmak olabilir. Vietnam'daki kullanıcılar da benzer tehditlerle karşı karşıya kalma riski altında.

Kaspersky, kötü amaçlı uygulamalara karşı önlem almaları için Google ve Apple'ı bilgilendirdi. Bazı teknik detaylar, yeni saldırının daha önce keşfedilen bir Truva Atı olan SparkCat ile bağlantılı olduğunu gösteriyor. SparkCat, kullanıcıların fotoğraf arşivlerini tarayan ve kripto para cüzdanları için şifreler veya kurtarma ifadeleri içeren ekran görüntülerini çalan yerleşik bir optik karakter tanıma (OCR) modülüne sahip iOS platformundaki ilk kötü amaçlı yazılımdır.

Kaspersky araştırmacıları, SparkCat'ten sonra bu yıl ikinci kez App Store'da bir Truva atı hırsızı keşfetti.

Bu Truva atı kötü amaçlı yazılımı, App Store'da 币coin adlı kripto para birimiyle ilgili bir uygulama kılığında gizleniyor. Ayrıca, iPhone App Store arayüzünü taklit etmek üzere tasarlanmış sahte web sitelerinde, siber suçlular bu kötü amaçlı yazılımı TikTok uygulaması ve bazı bahis oyunları kisvesi altında yayıyor.

Kaspersky'de kötü amaçlı yazılım analisti olan Sergey Puzan, "Sahte web siteleri, bilgisayar korsanlarının kullanıcıları iPhone'lara kötü amaçlı yazılım yüklemeye ve ziyaret etmeye kandırmaya çalıştığı Truva atlarını dağıtmak için en popüler kanallardan biridir. iOS'ta, kullanıcıların App Store dışından uygulama yüklemeleri için hâlâ bazı meşru yollar mevcut. Bu saldırıda, bilgisayar korsanları işletmeler içinde dahili uygulamalar yüklemek için tasarlanmış bir geliştirici aracından yararlandı. TikTok'un virüslü sürümünde, kullanıcı oturum açar açmaz kötü amaçlı yazılım telefonun galerisinden fotoğraflar çalıyor ve kurbanın kişisel sayfasına gizlice garip bir bağlantı ekliyor. Endişe verici olan, bu bağlantının yalnızca kripto para birimi ödemelerini kabul eden bir mağazaya yönlendirmesi ve bu da bizi bu kampanya konusunda daha da endişelendiriyor," dedi.

Android'de saldırganlar, kötü amaçlı yazılımı kripto para birimiyle ilgili hizmetler gibi göstererek hem Google Play hem de üçüncü taraf web sitelerindeki kullanıcıları hedef aldı. Enfekte olmuş uygulamalara bir örnek, yerleşik kripto para ticareti işlevine sahip bir mesajlaşma uygulaması olan ve resmi mağazadan 10.000'den fazla indirilen SOEX'tir.

Uzmanlar ayrıca, söz konusu kötü amaçlı yazılım bulaşmış uygulamaların APK dosyalarını (Google Play'e girmeden doğrudan yüklenebilen Android uygulama yükleme dosyaları) üçüncü taraf web sitelerinde keşfetti; bunların yukarıdaki saldırı kampanyasıyla bağlantılı olduğu düşünülüyor.

Bu uygulamalar, kripto para yatırım projeleri kisvesi altında tanıtılıyor. Özellikle, uygulamaları dağıtan web siteleri, YouTube da dahil olmak üzere sosyal ağlarda yaygın olarak tanıtılıyor.

Kaspersky'de kötü amaçlı yazılım analisti olan Dmitry Kalinin, "Uygulamalar yüklendikten sonra açıklandığı gibi çalışıyor. Ancak kurulum sırasında cihaza sessizce sızıyor ve kurbanın galerisinden otomatik olarak saldırgana görseller gönderiyorlar. Bu görseller, bilgisayar korsanlarının aradığı hassas bilgiler (örneğin, kripto cüzdan kurtarma betikleri) içerebilir ve bu da kurbanın dijital varlıklarını çalmalarına olanak tanır," dedi. "Saldırganların kullanıcıların dijital varlıklarının peşinde olduğuna dair dolaylı işaretler var: Virüslü uygulamaların çoğu kripto para birimleriyle ilgili ve TikTok'un virüslü sürümünde yalnızca kripto para birimi ödemelerini kabul eden bir mağaza da bulunuyor."

Kaspersky, bu kötü amaçlı yazılımın kurbanı olmamak için kullanıcıların aşağıdaki güvenlik önlemlerini almasını öneriyor:

- Eğer yanlışlıkla bulaşmış uygulamalardan birini yüklediyseniz, uygulamayı cihazınızdan hemen kaldırın ve kötü amaçlı özelliği tamamen kaldıracak resmi bir güncelleme gelene kadar tekrar kullanmayın.

- Özellikle kripto para cüzdanı kurtarma kodları içeren görseller olmak üzere, hassas bilgiler içeren ekran görüntülerini fotoğraf arşivinizde saklamaktan kaçının. Bunun yerine, kullanıcılar oturum açma bilgilerini özel parola yönetimi uygulamalarında saklayabilirler.

- Kötü amaçlı yazılım bulaşma riskini önlemek için güvenilir bir güvenlik yazılımı yükleyin. Benzersiz güvenlik mimarisine sahip iOS işletim sistemleri için Kaspersky çözümü, bir cihazın bir bilgisayar korsanının kontrol sunucusuna veri ilettiğini tespit ederse uyarı verir ve bu veri aktarım sürecini engeller.

- Bir uygulama fotoğraf kütüphanesine erişim talebinde bulunduğunda, kullanıcılar bu iznin uygulamanın ana işlevi için gerçekten gerekli olup olmadığını dikkatlice değerlendirmelidir.

Kaynak: https://www.vietnamplus.vn/phat-hien-phan-mem-gian-diep-moi-nham-vao-nguoi-tren-app-store-va-google-play-post1046585.vnp