Mobil cihazlara yönelik siber saldırılar hız kesmeden devam ederken, SparkKitty adında yeni ve sofistike bir zararlı yazılımın ortaya çıkması, kripto cüzdan kullanıcılarını alarma geçirdi. Kaspersky’nin ortaya koyduğu bu yeni tehdit, özellikle seed phrase ekran görüntülerini hedef alıyor ve iOS ile Android cihazlara yönelik organize bir saldırı stratejisi izliyor.
Masum Görünümlü Uygulamalarla Yayılıyor
SparkKitty, zararlı kodlarını mobil uygulamalara gizleyerek yayılıyor. Kullanıcılar, TikTok’un modifiye edilmiş versiyonları, yatırım uygulamaları ya da portföy takip araçları gibi görünen bu uygulamaları indiriyor. Bu yazılımlar, “fotoğraf galerisi erişimi” izni alarak cihazlarda kayıtlı kripto cüzdan yedeklerinin ekran görüntülerine ulaşabiliyor.
İki örnek uygulama dikkat çekiyor:
Soex Wallet Tracker – Google Play üzerinden binlerce kez indirildi.
Coin Wallet Pro – Sahte çoklu zincir cüzdan uygulaması olarak pazarlandı.
Güvenlik Engellerini Nasıl Aşıyor?
SparkKitty, hem iOS hem de Android sistemlerini aşacak düzeyde karmaşık yöntemler kullanıyor:
iOS tarafında, zararlı yazılım, meşru framework’ler (örneğin AFNetworking) üzerinde yapılan değişikliklerle sisteme entegre ediliyor. Apple’ın kurumsal uygulama dağıtım profili sistemini kullanarak App Store denetimlerinden kaçmayı başarıyor.
Android tarafında ise doğrudan uygulama giriş noktalarına zararlı kod yerleştiriliyor. Meşru gibi görünen içeriklerle kullanıcıların güveni kazanılıyor.
OCR Teknolojisi ile Görselleri Okuyor
SparkKitty, entegre optik karakter tanıma (OCR) teknolojisiyle öne çıkıyor. Bu sistem, ekran görüntülerindeki metinleri tarıyor ve seed phrase, özel anahtar ya da cüzdan adresi içerenleri doğrudan saldırganların sunucusuna gönderiyor.
Bu yöntem, önceki zararlı yazılımlardan farklı olarak manuel incelemeye ihtiyaç duymadan daha hızlı ve etkili veri çalma imkânı sunmakta. Google’ın ML Kit kütüphanesini kullanan bu sistem, görsellerdeki içerikleri metin olarak algılayarak hedefli veri hırsızlığı yapıyor.
SparkKitty yalnızca görsel veriyle yetinmiyor. Bazı sürümlerinde sosyal mühendislik teknikleri de görülmekte. Örneğin, kullanıcıya “12 saat içinde seed phrase’inizi yedeklemezseniz erişiminizi kaybedebilirsiniz” şeklinde sahte uyarılar gösteriliyor. Bu sayede kullanıcılar bizzat kendi kritik bilgilerini açığa çıkarıyor.
SparkKitty’nin gelişmiş sürümleri, sadece veri çalmıyor. Cihazları Monero gibi kripto paraları izinsiz madencilik için de kullanıyor. Kaspersky, bu saldırıların Librarian Ghouls gibi gelişmiş siber tehdit gruplarıyla bağlantılı olduğunu belirtiyor.
Ne Yapmalı?
SparkKitty, kripto kullanıcıları için yeni bir tehlikeyi ortaya koydu. Galeriye kaydedilen ekran görüntüleri ciddi risk taşıyor. Seed phrase gibi yedeklerinizi yazılı olarak saklayın. Tanımadığınız uygulamalardan uzak durun. Uygulama izinlerini, özellikle galeri erişimini, mutlaka kontrol edin.
Mobil cihazınız bir finansal araç haline geldiğinde, dijital hijyen hayati önem taşır.
Son dakika gelişmelerden anında haberdar olmak için bizi Twitter’da, Facebook‘ta ve Instagram‘da takip edin ve Telegram ve YouTube kanalımıza katılın!
Yazının devamı için SparkKitty: Kripto Cüzdanları Tehlikede
(Kaynak : kriptokoin.com)