Kaspersky Lab, Google Play ve Apple App Store'de bulunan mobil uygulamalara gömülü kötü niyetli yazılım geliştirme kitleri (SDKler) aracılığıyla kripto para kullanıcılarını hedefleyen sofistike bir kötü amaçlı yazılım kampanyası tespit etti. Bu kötü amaçlı yazılım, kullanıcının fotoğraflarını kripto para cüzdanı kurtarma ifadeleri için taramak amacıyla optik karakter tanıma (OCR) teknolojisini kullanıyor, saldırganlar bu ifadeleri ele geçiriyor ve etkilenen cüzdanları boşaltıyorlar.

4 Şubat 2025 tarihli kapsamlı bir raporda, Kaspersky araştırmacıları Sergey Puzan ve Dmitry Kalinin detaylandırdı SparkCat kötü amaçlı yazılımının cihazlara nasıl sızdığını ve çok dilli anahtar kelime tespiti yoluyla görüntülerde kurtarma ifadeleri aradığını. Bu ifadeler elde edildikten sonra, saldırganlar kurbanların kripto cüzdanlarına sınırsız erişim kazanıyorlar. Böylece, araştırmacıların vurguladığı gibi saldırganlar fonlar üzerinde tam kontrol sağlıyor.

Ayrıca, bu kötü amaçlı yazılım, ekran görüntülerinde yakalanan parolalar ve özel mesajlar gibi ek hassas bilgileri çalmak için de tasarlanmıştır. Özellikle Android cihazlarda SparkCat, Spark adlı Java tabanlı bir analiz modülü olarak kendini gösteriyor. Kötü amaçlı yazılım, GitLab'de yer alan şifrelenmiş bir yapılandırma dosyasından operasyonel güncellemeler alıyor ve enfekte cihazlardaki görüntülerden metin çıkarmak için Google's ML Kit OCR'ı kullanıyor. Kurtarma ifadesinin tespit edilmesi durumunda, kötü amaçlı yazılım bilgiyi saldırganlara geri göndererek kurbanın kripto cüzdanını kendi cihazlarına aktarmalarına olanak tanır.

Kaspersky, 2023 Mart ayında ortaya çıktığından beri SparkCat'in yaklaşık 242.000 kez indirildiğini ve ağırlıklı olarak Avrupa ve Asya'daki kullanıcıları etkilediğini tahmin ediyor.

2024 ortalarından ayrı ama ilişkili bir raporda, Kaspersky, SMS mesajlarını ve çağrı kayıtlarını engelleyen, Gmail verilerini çalan Tria Stealer gibi yanıltıcı APK'ler içeren başka bir Android kötü amaçlı yazılım kampanyasını izliyor.

Bu kötü niyetli yazılım, bazıları gıda teslimat hizmetleri gibi yasal görünen ve diğerleri AI tabanlı mesajlaşma uygulamaları gibi dikkatsiz kullanıcıları çekmek üzere tasarlanmış birçok uygulamada bulunuyor. Bu enfekte uygulamaların ortak özellikleri arasında Rust programlama dilinin kullanımı, platformlar arası yetenekler ve tespit edilmekten kaçınmak için gelişmiş gizleme yöntemleri bulunmaktadır.

SparkCat'in kökenleri belirsizliğini koruyor. Araştırmacılar, bu kötü amaçlı yazılımı bilinen herhangi bir hacker grubuna atfetmediler ancak kod içinde Çince yorumlar ve hata mesajları olduğunu, geliştiricinin Çince'de akıcılığı olduğunu öne sürüyorlar. Mart 2023'te ESET tarafından ortaya çıkarılan kampanya ile benzerlik gösterse de, kesin kaynağı hala tanımlanmış değil.

Kaspersky, kullanıcıların kripto cüzdan kurtarma ifadeleri gibi hassas bilgileri fotoğraf galerilerinde saklamamaları konusunda güçlü bir uyarı yapıyor. Bunun yerine, parola yöneticileri kullanmalarını ve şüpheli uygulamaları düzenli olarak tarayıp kaldırmalarını öneriyor.

Bulgular ilk olarak 99Bitcoins'de "Kötü Amaçlı SDK'ler Google Play ve App Store'de Kripto Kurucu İfadelerini Çalıyor: Kaspersky" başlıklı makalede bildirildi.