Kaspersky Yeni Bir Kripto Zararlı Yazılımını Tespit Etti: Seed Phrase Ekran Görüntüleri Hedef Alınıyor

Yeni bir mobil casus yazılım türü, kripto kullanıcılarının cüzdan seed phrase'lerinin ekran görüntülerini çalarak hedef alıyor ve bazı enfekte uygulamalar Apple ile Google'ın mağaza savunmalarını atlatmayı başarıyor.

Kaspersky, kripto kullanıcılarının telefon fotoğraf galerilerindeki seed phrase ekran görüntülerini hedef alan yeni bir mobil kripto zararlı yazılımını ortaya çıkardı. Bu zararlı yazılım hem Android hem de iOS uygulamaları aracılığıyla yayılıyor ve bazıları Google Play ile Apple'ın App Store'u gibi resmi uygulama mağazalarına kadar sızmış durumda.

Özellikle Güneydoğu Asya ve Çin'deki kullanıcıları hedef alan SparkKitty adlı bu yeni zararlı yazılım, Ocak ayında keşfedilen SparkCat adlı önceki bir zararlı yazılım kampanyasının akrabası gibi görünüyor. SparkCat gibi, bu yeni varyant da hassas bilgiler içeren fotoğrafları çalmaya odaklanıyor.

Zararlı yazılım, TikTok modları, kripto takipçileri, kumar oyunları ve yetişkin içerikli uygulamalar gibi görünüşte meşru uygulamaların içine gizlenmiş durumda. Bu uygulamalar, kullanıcıları özel bir geliştirici profilini yüklemeye ikna ederek, zararlı yazılımın telefonun olağan uygulama inceleme korumalarının dışında çalışmasına izin veriyor.

Yüklendikten sonra, zararlı yazılım kullanıcının belirli ekranları (örneğin bir destek sohbeti) açmasını bekliyor ve ardından fotoğraf galerisine erişim talep ediyor. Erişim izni verilirse, optik karakter tanıma kullanarak görüntüleri sessizce tarıyor ve metin içeren ekran görüntülerini tespit edip çalıyor.

Sahte uygulamaların birçoğu güçlü kripto temalarına sahipti ve birkaçı yalnızca kripto mağazalarını içeriyordu, bu da seed phrase toplamanın hedef olduğunu gösteriyor.

Örneğin, raporlarda işaretlenen iki uygulama Soex Wallet Tracker ve Coin Wallet Pro idi. Gerçek zamanlı takip özellikleriyle bir portföy yöneticisi gibi davranan Soex, Google Play'den kaldırılmadan önce 5.000'den fazla kez indirilmişti.

Güvenli çok zincirli bir cüzdan olarak pazarlanan Coin Wallet Pro ise App Store'da kısa bir süre göründü ve kaldırılmadan önce sosyal medya reklamları ve Telegram promosyonları aracılığıyla popülerlik kazandı.

Kaspersky hem Apple hem de Google'ı bilgilendirdi ve etkilenen uygulamalar mağazalardan kaldırıldı. Araştırmacılar, kampanyanın en az Nisan 2024'ten beri devam ettiğini ve bazı örneklerin daha da eskiye dayandığını belirtti.