Uzmanlar, casus yazılımın bir yemek siparişi uygulamasına kılık değiştirerek şifreleme cüzdanın yardımcı ifadesini çaldığını keşfetti.

Kaspersky uzmanları, Apple Store'da gizli casus yazılım keşfetti. Bir iOS sipariş uygulaması olan ComeCome'da kötü niyetli casus yazılım bulundu. Bu sipariş uygulaması aynı zamanda Google Play'den de indirilebilir ve amacı Kripto Para cüzdanı kullanıcılarının seed kelimelerini çalmak ve Kripto Para'yı çalmaktır.

Kaspersky'nin analistleri Dmitry Kalinin ve Sergey Puzan, uygulamanın kurbanların Kripto Para anahtarlarını sahtekarlık çetelerine aktaracağını belirtti. Kaspersky araştırmacılarına göre, bu yemek siparişi uygulamasına kötü amaçlı SDK çerçevesi yerleştirildi ve belirli olmayan bir zamanda optik karakter tanıma (OCR) eklentisini açabilir. OCR kodu çalışmaya başladığında, uygulama mobil cihazda ekran görüntüsü arayacak ve Kripto Para cüzdanının anımsatıcı ifadesini taramak için kullanılacak, casus yazılım anımsatıcı ifadeleri çaldıktan sonra kullanıcı cüzdanındaki Kripto Para'yı çalacak.

Uzmanlar, suç çeteleri tarafından çalınan tohum kelimeleri nedeniyle uygulama arkasındaki suç çetelerinin mağdurların Kripto Para cüzdanını kontrol edebileceğini ve fonları transfer edebileceğini belirtiyor. Bu nedenle tohum kelimelerinin sıkı bir şekilde saklanması, çevrimdışı erişim sağlanması ve sadece telefon ekran görüntüsüyle kaydedilmemesi daha iyidir.

Apple, Come Come yemek dağıtım uygulamasını kaldırdı, ancak korkutucu olan şey, ne Google Play'in ne de Apple'ın App Store'unun uygulamada bulunan kötü amaçlı yazılımı tespit etmemiş olması ve şu anda kullanıcıların indirmesi için uygulama mağazasında Come Come gibi görünüşte normal görünen birden fazla uygulama var, bu uygulamalar listenin sansüründen tamamen kaçabilir, netizenlerin güvendiği Apple mağazası bile sansürü aldatabilir, bunlar yaygın olarak kullanılan APP'ye benziyor Kötü niyet besleyen kötü amaçlı yazılım, hassas kişisel hesap şifrelerinden ve şifreleme cüzdanı tohum kelimelerinden çalınan SparkCat ile yerleştirildi.

Kötü amaçlı yazılım SparkCat, şifreleri ve seed kelimelerini çalmak için özel olarak tasarlanmıştır.

Uzmanlar, seed kelimelerini çalan kötü amaçlı yazılımı SparkCat olarak adlandırıyor ve esnekliği sayesinde sadece seed kelimelerini değil, aynı zamanda telefon galerisindeki diğer hassas verileri de çalabildiğini, örneğin mesajlar veya şifreler gibi telefon ekran görüntülerindeki bilgileri.

Kaspersky ekibi, suç örgütünün hedeflerinin Avrupa ve Asya'daki Android ve iOS kullanıcıları olduğunu belirtti. Google Play Store'da SparkCat'e yerleştirilen birçok uygulama bulunuyor ve bu uygulamaların indirilme sayısı 242.000'i aşıyor.

SparkCat'in bu uygulamalara hackerlar aracılığıyla mı yoksa uygulama geliştirme ekibinin kendisinin mi bir dolandırıcı grubu olduğu henüz doğrulanamadı. Apple, ComeCome UYGULAMASINI iOS mağazasından kaldırdı, Google Play mağazası da bu sorunlu UYGULAMAYI kaldırdı. Ancak uzmanlar, görünüşte normal ticari uygulamaların hala mağazalarda gizlendiğinden ve habersiz kullanıcılar tarafından indirilebileceğinden endişe ediyor.

SparkCat nasıl çalışır?

SparkCat, kötü niyetli uygulamalardaki yüksek derecede karıştırılmış Spark adlı bir modülü ifade eder. Bu casus yazılım genellikle Java ile yazılmış olup, tanınmamış protokolü ve uzak komut ve kontrol (C2) sunucusu ile iletişim kurmak için Rust kullanmaktadır.

Android sürümü Spark, C2 sunucusuna bağlandıktan sonra, Google ML Kit kitaplığında bulunan Text Recognizer arabirimini kullanarak ekran üzerinden karakterleri çıkarmak için bir sarmalayıcı indirir ve kullanır. Bu kötü amaçlı yazılım, sistem diline göre farklı OCR modellerini yükleyerek resimlerdeki Latin, Korece, Çince veya Japonca metinleri tanır. Uygulama ile etkileşime geçilirse (not: yasal bir üçüncü taraf Easemob Help Desk SDK aracılığıyla), uygulama telefonun görüntü kütüphanesine erişim isteyecektir. Eğer saldırgan erişim izni elde ederse, ekran görüntülerini OCR taraması yapmak için kullanacak ve şifreleme cüzdanı tohum kelimelerini çalıp onları C2 sunucusuna gönderecektir.

Kötü niyetli casus yazılımları nasıl engellenir?

şifreleme cüzdanının anımsatıcı ifadeleri kağıt ve kalemle yazılır, bu, anımsatıcı ifadeleri korumanın en eski yoludur. Birçok insan kolaylık için telefon ekran görüntüsü alır, ancak uzmanlar bu yöntemin daha tehlikeli olduğunu düşünüyor. Bilinmeyen kaynaklardan gelen UYGULAMALARI indirmeden önce, normalde uygulamanın erişim izinlerini sık sık kontrol etmek gerekiyor. Kayıt, video ve ekran görüntüsü yakalama işlevlerinin açılıp açılmadığını kontrol edin. Birçok uygulama, bu izinleri kullanıcılara indirirken açmalarını ister, bu yüzden sık sık kontrol etmek en iyisidir. Uygulamayı kullanmadığınızda erişim izinlerini kapatın, böylece üçüncü taraf uygulamalarının girmesine izin vermezsiniz. Bu, temel günlük önlemler arasında daha kolay bir şekilde yapılabilir.

Bu makalede uzmanlar, casus yazılımın sipariş uygulaması kılığında gizlendiğini ve şifreleme cüzdanı anımsatıcı ifade kelimelerini çaldığını keşfetti, bu en erken ChainNews ABMedia'da ortaya çıktı.