Google, “iRecorder – Screen Recorder” adlı bir ekran kayıt uygulamasını, uygulamanın zararsız bir uygulama olarak yayınlanmasından yaklaşık bir yıl sonra bilgi çalma yetenekleri sızdırdığı tespit edildikten sonra Play Store’dan kaldırdı.
50.000’den fazla kurulum gerçekleştiren uygulama (APK paket adı “com.tsoft.app.iscreenrecorder”) ilk olarak 19 Eylül 2021’de yüklendi. Kötü amaçlı işlevselliğin, yayınlanan 1.3.8 sürümünde tanıtıldığına inanılıyor. 24 Ağustos 2022’de.
ESET güvenlik araştırmacısı Lukáš Štefenko, “Bir geliştiricinin meşru bir uygulamayı yükleyip neredeyse bir yıl bekleyip ardından onu kötü amaçlı kodla güncellemesi nadir görülen bir durumdur.” söz konusu teknik bir raporda.
“iRecorder’ın temiz sürümüne eklenen kötü amaçlı kod, açık kaynağa dayalıdır. Ah Efsane Android RAT (uzaktan erişim truva atı) ve AhRat olarak adlandırdığımız şekilde özelleştirilmiştir.”
iRecorder ilk bayraklı Kaspersky güvenlik analisti Igor Golovin tarafından 28 Ekim 2022’de AhMyth truva atının barındırıldığı, uygulamanın tüm bu süre boyunca erişilebilir kalmayı başardığını ve hatta 26 Şubat 2023 gibi yakın bir tarihte yeni bir güncelleme aldığını belirtti.
ESET’in AhRat’ı AhMyth’in hafif bir sürümü olarak tanımlamasıyla, uygulamanın kötü niyetli davranışı özellikle mikrofon kayıtlarının çıkarılmasını ve belirli uzantılara sahip dosyaların toplanmasını içerir.
Veri toplama özelliği, olası bir casusluk saikine işaret ediyor, ancak faaliyeti bilinen herhangi bir tehdit aktörüyle ilişkilendirecek hiçbir kanıt yok. Ancak AhMyth daha önce Transparent Tribe tarafından Güney Asya’yı hedef alan saldırılarda kullanılmıştı.
iRecorder adlı bir geliştiricinin eseridir. Kahve Kolik Dev, yıllar içinde birkaç başka uygulama da yayınlayan. Hiçbiri yazı itibariyle erişilebilir değil –
- iBlock (com.tsoft.app.iblock.ad)
- iCleaner (com.isolar.icleaner)
- iEmail (com.tsoft.app.email)
- iLock (com.tsoft.app.ilock)
- iVideo İndir (com.tsoft.app.ivideoindir)
- iVPN (com.ivpn.speed)
- Dosya hoparlörü (com.teasoft.filespeaker)
- QR Tasarrufu (com.teasoft.qrsaver)
- Tin nóng tin lạnh (okuyun: Vietnamca sıcak ve soğuk haberler) (com.teasoft.news)
Bu gelişme, kötü amaçlı yazılımın, kullanıcılar arasında güven oluşturmak için uygulamanın temiz bir sürümünü Play Store’a yüklemek ve daha sonraki bir aşamada uygulama güncellemeleri aracılığıyla bir teklifle kötü amaçlı kod eklemek anlamına gelen sürüm oluşturma adlı bir tekniği benimseyen kötü amaçlı yazılımın yalnızca en son örneğidir. uygulama inceleme sürecinden geçmek için.
Štefenko, “AhRat araştırma vakası, başlangıçta meşru olan bir uygulamanın, aylar sonra bile kullanıcılarını gözetleyerek ve mahremiyetlerini tehlikeye atarak nasıl kötü niyetli bir uygulamaya dönüşebileceğinin iyi bir örneğidir.” dedi.