Google kısa bir süre önce 50.000’den fazla cihaza yüklenmiş trojan bulaşmış bir Android uygulamasını Play Store’dan kaldırdı. Truva atını tespit eden güvenlik firmasına göre, uygulama ilk olarak 2021’de geliştirici tarafından yüklendi ve ardından bir yıl sonra kötü amaçlı kod bulaştı. Uygulama aynı zamanda ses, video ve web sayfaları için uzantıları tespit ederek kullanıcıların dosyalarını ayıklayıp yükleyebiliyordu. Uygulama Play Store’dan kaldırılmış olsa da, onu indiren kullanıcıların uygulamayı cihazlarından manuel olarak kaldırması gerekecek.
ESET araştırmacıları tarafından yayınlanan bir rapora göre iRecorder uygulaması, Play Store’a ilk kez Eylül 2019’da herhangi bir kötü amaçlı işlevsellik içermeden yüklendi. Yaklaşık bir yıl sonra, uygulamaya, araştırmacıların AhRat adını verdiği açık kaynaklı AhMyth Android RAT (uzaktan erişim truva atı) bulaştı. Uygulamayı güncelleyen veya Ağustos 2022’den beri ilk kez indiren kullanıcıların cihazlarında virüs bulaşmış uygulama olacaktır.
iRecorder uygulaması, Google Play mağazasında 50.000’den fazla indirildi
Fotoğraf Kredisi: Ekran Görüntüsü/ ESET
Uygulamanın ilk sürümünde herhangi bir kötü amaçlı işlevsellik bulunmamakla birlikte ESET, daha sonra, telefonun mikrofonunu kullanarak ortam sesini ve sesi kaydetmek de dahil olmak üzere kötü niyetli davranışlarda bulunmasına izin veren bir kodla güncellendiğini belirtir. Bu kayıtlar daha sonra saldırganın komuta ve kontrol (C&C) sunucusuna yüklenebilir. Uygulama ayrıca video, ses, resim, web sayfaları, belgeler ve sıkıştırılmış dosyalar gibi belirli uzantılara sahip dosyaları da ayıklayabiliyordu.
ESET’in araştırmacıları, AhMyth RAT’ın, ses kaydederken, görüntü yakalarken, cihazın konumunu takip ederken ve akıllı telefondaki tüm dosyaların bir listesini oluştururken bir kullanıcının telefonundaki metin mesajlarını, arama günlüklerini ve kişileri sızdırabilen çok güçlü bir araç olduğunu açıklıyor. .
Herhangi bir gelişmiş kalıcı tehdit (APT) grubuyla ilişkilendiremeyen araştırmacılara göre, uygulamanın davranışı AhRat truva atının bir casusluk kampanyasının parçası olarak kullanılabileceğini gösteriyor. Bu arada ESET, orijinal açık kaynaklı AhMyth RAT’ın daha önce Güney Asya’daki hükümet ve askeri kuruluşları hedef almak için yaygın olarak Transparent Tribe olarak bilinen siber casusluk grubu APT36 tarafından kullanıldığını söylüyor.
ESET, iRecorder uygulamasındaki kötü amaçlı kodu Google’a işaretledikten sonra, uygulama Google Play mağazasından kaldırıldı. Uygulama, kaldırıldığı sıradaki listeye göre şimdiden 50.000 kez indirildi. Uygulamayı virüs bulaştıktan sonra yükleyen veya güncelleyen kullanıcıların, virüs bulaşmış uygulamayı akıllı telefonlarından kaldırmak için uygulamayı manuel olarak kaldırmaları gerekir.