Cüzdan Bilgilerinizi ve Seed İfadenizi Telefonunuzda Fotoğraf Olarak Saklıyor musunuz? Bu Trojan Sizi Hedef Alıyor Olabilir

SparkKitty adı verilen yeni bir mobil casus yazılım türü, Apple'ın App Store'u ve Google Play'i ele geçirerek kripto temalı ve modifiye uygulamalar gibi davranıyor ve kullanıcıların seed ifadeleri ile cüzdan kimlik bilgilerinin fotoğraflarını gizlice çalıyor.

Kötü amaçlı yazılım, ilk olarak 2025'in başlarında ortaya çıkarılan ve sahte destek sohbet modüllerini kullanarak kullanıcı galerilerine sessizce erişen ve hassas ekran görüntülerini çalan SparkCat kampanyasının bir devamı gibi görünüyor.

Kaspersky araştırmacıları Pazartesi günü yaptıkları bir paylaşımda, SparkKitty'nin aynı stratejiyi birkaç adım öteye taşıdığını belirtti.

Çoğunlukla resmi olmayan Android paketleri aracılığıyla yayılan SparkCat'in aksine, SparkKitty, resmi mağazalardan temin edilebilen birden fazla iOS ve Android uygulamasının içinde doğrulandı. Bunlar arasında kripto borsa özelliklerine sahip bir mesajlaşma uygulaması (Google Play'de 10.000'den fazla yükleme) ve "币coin" adlı, portföy takipçisi gibi gizlenmiş bir iOS uygulaması yer alıyor.

iOS varyantının çekirdeğinde, saldırganların Objective-C'nin +load seçicisini kullanarak uygulama başlatıldığında otomatik olarak çalışan özel bir sınıf gömdüğü, silahlandırılmış bir AFNetworking veya Alamofire çerçevesi bulunuyor.

Başlangıçta, gizli bir yapılandırma değerini kontrol ediyor, bir komut ve kontrol (C2) adresi alıyor ve kullanıcının galerisini tarayarak görüntüleri yüklemeye başlıyor. Bir C2 adresi, kötü amaçlı yazılıma ne yapacağını (örneğin veri çalma veya dosya gönderme zamanı) söylüyor ve çalınan bilgileri geri alıyor.

Android varyantı ise aynı hedefe ulaşmak için değiştirilmiş Java kütüphanelerini kullanıyor. OCR, görüntüleri ayrıştırmak için Google ML Kit aracılığıyla uygulanıyor. Bir seed ifadesi veya özel anahtar tespit edilirse, dosya işaretleniyor ve saldırganın sunucularına gönderiliyor.

iOS'ta kurulum, kurumsal sağlama profilleri veya dahili kurumsal uygulamalar için tasarlanmış ancak genellikle kötü amaçlı yazılım için kullanılan bir yöntemle yapılıyor.

Kurbanlar, "SINOPEC SABIC Tianjin Petrochemical Co. Ltd." ile bağlantılı bir geliştirici sertifikasını manuel olarak onaylamaya ikna ediliyor ve bu da SparkKitty'ye sistem düzeyinde izinler veriyor.

Kullanılan birkaç C2 adresi, şifrelenmiş sunucularda barındırılan AES-256 şifreli yapılandırma dosyalarına işaret ediyor.

Şifresi çözüldüğünde, /api/putImages ve /api/getImageStatus gibi yük alıcılarına ve uç noktalara yönlendiriyor. Uygulama burada fotoğraf iletimlerini yükleyip yüklemeyeceğine veya geciktirip geciktirmeyeceğine karar veriyor.

Kaspersky araştırmacıları, kötü amaçlı yazılımın diğer versiyonlarının, şifrelenmiş başlatma mantığına sahip sahte bir OpenSSL kütüphanesi (libcrypto.dylib) kullandığını keşfetti. Bu da gelişen bir araç setini ve birden fazla dağıtım vektörünü gösteriyor.

Çoğu uygulama Çin ve Güneydoğu Asya'daki kullanıcıları hedef alıyor gibi görünse de, kötü amaçlı yazılımın bölgesel kapsamını sınırlayan bir özelliği bulunmuyor.

Apple ve Google, açıklamanın ardından söz konusu uygulamaları kaldırdı, ancak kampanyanın muhtemelen 2024'ün başlarından beri aktif olduğu ve yan yükleme varyantları ve klon mağazalar aracılığıyla hala devam ediyor olabileceği konusunda araştırmacılar uyarıyor.

Çeviren: NeoRonin