Yeni Mobil Casus Yazılım, Kripto Cüzdan Sahiplerinin Gizli Anahtarlarını Hedef Alıyor

Kaspersky tarafından tespit edilen yeni bir mobil kripto zararlı yazılımı, kripto kullanıcılarının telefon galerilerindeki gizli anahtar (seed phrase) ekran görüntülerini çalmayı hedefliyor. Bu zararlı yazılım, Android ve iOS uygulamaları aracılığıyla yayılıyordu ve bazıları Google Play ve Apple App Store dahil olmak üzere resmi uygulama mağazalarına girmeyi başardı. Özellikle Güneydoğu Asya ve Çin'deki kullanıcıları hedef alan bu yeni zararlı yazılım, SparkKitty olarak adlandırılıyor ve Ocak ayında keşfedilen önceki bir zararlı yazılım kampanyası olan SparkCat'in bir akrabası gibi duruyor. SparkCat gibi, bu yeni varyant da hassas bilgiler içeren fotoğrafları çalmaya odaklanıyor.

Zararlı yazılım, TikTok modları, kripto takipçileri, kumar oyunları ve yetişkin içerikli uygulamalar gibi görünüşte meşru uygulamaların içine gizlenmiş durumda. Bu uygulamalar, kullanıcıları özel bir geliştirici profilini yüklemeye ikna ediyor ve bu profil, zararlı yazılımın telefonun olağan uygulama inceleme korumalarının dışında çalışmasına izin veriyor. Yüklendikten sonra, zararlı yazılım kullanıcının belirli ekranları (örneğin, destek sohbetleri) açmasını bekliyor ve ardından fotoğraf galerisine erişim izni istiyor. İzin verilirse, optik karakter tanıma (OCR) kullanarak görüntüleri sessizce tarıyor ve metin içeren ekran görüntülerini tanımlayıp çalıyor.

Sahte uygulamaların çoğu, güçlü kripto temalarına sahipti ve birkaçı yalnızca kripto mağazaları içeriyordu, bu da gizli anahtar koleksiyonunun amaç olduğunu düşündürüyor. Örneğin, raporlarda belirtilen iki uygulama Soex Wallet Tracker ve Coin Wallet Pro idi. Gerçek zamanlı takip özelliklerine sahip bir portföy yöneticisi gibi görünen Soex, kaldırılmadan önce Google Play'den 5.000'den fazla kez indirildi. Çok zincirli güvenli bir cüzdan olarak pazarlanan Coin Wallet Pro ise, kaldırılmadan önce sosyal medya reklamları ve Telegram promosyonları aracılığıyla popülerlik kazanarak kısa bir süre App Store'da göründü.

Kaspersky, hem Apple hem de Google'ı bilgilendirdi ve etkilenen uygulamalar daha sonra mağazalarından kaldırıldı. Araştırmacılar, kampanyanın en az Nisan 2024'ten beri devam ettiğini ve bazı örneklerin daha da eskiye dayandığını belirtiyor.

Sonuç olarak, kripto para kullanıcılarının, uygulamaları indirirken ve özellikle hassas bilgilerini içeren ekran görüntülerini paylaşırken dikkatli olmaları gerekiyor. Uygulama mağazalarından indirilen uygulamaların güvenilirliğini kontrol etmek ve bilinmeyen kaynaklardan gelen uygulamalardan kaçınmak, bu tür zararlı yazılımlara karşı korunmanın önemli yollarıdır.