SparkCat Kötü Amaçlı Yazılım
SparkCat olarak adlandırılan yakın zamanda ortaya çıkarılan bir tehdit kampanyası, kripto para cüzdanı kurtarma ifadelerini toplamak için tasarlanmış aldatıcı uygulamaları kullanarak hem Apple'ın App Store'una hem de Google Play'e sızdı. Meşru hizmetler gibi görünen bu uygulamalar, kurbanların cihazlarından gizlice ezber ifadeleri çıkararak dijital varlıkları riske atıyor.
İçindekiler
Cüzdan Kurtarma İfadelerini Toplamak İçin OCR’yi Kullanma
SparkCat, cüzdan kurtarma ifadeleri içeren görseller için kullanıcıların fotoğraf kütüphanelerini taramak üzere gelişmiş bir Optik Karakter Tanıma (OCR) modelinden yararlanır. Tespit edildikten sonra, bu hassas görseller uzak bir Komuta ve Kontrol (C2) sunucusuna sızdırılır. Kampanya, bir analiz modülü gibi görünen Spark adlı bir Java bileşeni içeren gömülü bir yazılım geliştirme kiti (SDK) adını almıştır. Bu sızmanın bir tedarik zinciri saldırısından mı kaynaklandığı yoksa geliştiriciler tarafından kasıtlı olarak mı tanıtıldığı belirsizliğini korumaktadır.
Apple’ın App Store’una girmek
OCR yeteneklerine sahip Android tehditleri daha önce de ortaya çıkmış olsa da, SparkCat, Apple'ın App Store'una giren böyle bir saldırının ilk örneklerinden birini temsil ediyor. Google Play'de, tehlikeye atılan uygulamalar 7 Şubat 2025'te her iki platformdan da kaldırılmadan önce 242.000'den fazla kez indirildi.
Çok Platformlu Bir Operasyon
Kanıtlar SparkCat'in Mart 2024'ten beri aktif olduğunu gösteriyor. Güvenli olmayan uygulamaları hem resmi hem de üçüncü taraf uygulama mağazaları aracılığıyla dağıtılıyor. Sahte uygulamalar, AI araçlarını, yemek dağıtım hizmetlerini ve Web3 platformlarını taklit ediyor ve hatta bazıları şüpheleri önlemek için görünüşte meşru işlevler bile sağlıyor.
SparkCat Verileri Nasıl Toplar?
Android cihazlarda, kötü amaçlı yazılım Google'ın ML Kit kütüphanesi tarafından desteklenen bir OCR eklentisini şifresini çözer ve etkinleştirir. C2 sunucusundan önceden tanımlanmış anahtar kelimelerle eşleşen metinler için resim galerilerini tarar. İşaretlenen tüm resimler daha sonra saldırganlara iletilir.
SparkCat'in iOS versiyonu hassas bilgileri tanımlamak ve çıkarmak için tam ML Kit tabanlı OCR mekanizmasını kullanır. Benzersiz bir şekilde, bu versiyon mobil tehditlerde alışılmadık bir taktik olan C2 sunucusuyla etkileşim kurmak için Rust tabanlı bir iletişim çerçevesi de kullanır.
Saldırının Arkasında Kim Var?
Kullanılan anahtar kelimelerin ve dağıtım kalıplarının analizi, SparkCat'in öncelikli olarak Avrupa ve Asya'daki kullanıcıları hedef aldığını gösteriyor. Kanıtlar, Çince'de akıcılığa sahip tehdit aktörlerine işaret ediyor, ancak tam kimlikleri bilinmiyor.
Kılık Değiştirmiş Gizli Bir Truva Atı
SparkCat'i özellikle aldatıcı kılan şey, kırmızı bayraklar kaldırmadan çalışabilme yeteneğidir. İstediği izinler, uygulamanın reklamı yapılan özellikleri için gerekli veya zararsız görünür ve şüphe uyandırmadan karışmasını sağlar. Bu gizli yaklaşım, kullanıcıların kripto para cüzdanları tehlikeye atılmadan önce tehdidi fark etmesini zorlaştırır.
