Neredeyse bir yıl boyunca düzgün bir şekilde çalıştıktan ve Play Store üzerinden temiz bir şekilde dağıtıldıktan sonra, popüler bir Android ekran kayıt uygulaması, aramalarını kaydederek, dosyaları çalarak ve hatta cihazın bulunduğu ortamın seslerini dinleyerek kullanıcılarına düşman oldu.
ESET’ten siber güvenlik araştırmacıları, Play Store’a Eylül 2021’de eklenen iRecorder – Screen Recorder adlı uygulamanın Ağustos 2022’de bozulduğunu tespit etti.
Rapora göre, kötü amaçlı kod eklenmeden önceki yılda 50.000’den fazla kişi uygulamayı indirmişti.
Bilinmeyen motifler
Daha sonra eklenen kötü amaçlı yazılım, açık kaynaklı AhMyth Android Uzaktan Erişim Truva Atı’na (RAT) dayalıdır, ancak büyük ölçüde değiştirilmiştir. ESET, kodu değiştiren kişinin hem uygulamanın hem de arka ucun kodunu anlamak için zaman harcadığını söylüyor. ESET araştırmacıları kötü amaçlı yazılıma AhRat adını verdi.
Uzlaşmanın arkasındaki tehdit aktörleri ve amaçları bilinmiyor. Ancak araştırmacılar, AhRat’ın işlevleri göz önüne alındığında, her şeyin bir casusluk kampanyasına işaret ettiğini söyledi. Sonuçta, ekran kaydetme özelliğinin (kötü amaçlı olmayan) yanı sıra, uygulama uç noktanın mikrofonu tarafından alınan ortam sesini kaydedebilir ve kaydedilmiş web sayfaları, resimler, ses, video, belge dosyaları ve daha fazlası gibi dosyaları sızdırabilir.
“AhRat araştırma vakası, başlangıçta yasal olan bir uygulamanın, aylar sonra bile kullanıcılarını gözetleyerek ve gizliliklerinden ödün vererek nasıl kötü niyetli bir uygulamaya dönüşebileceğinin iyi bir örneği. Uygulama geliştiricisinin, Android cihazlarını bir güncelleme yoluyla tehlikeye atmadan önce bir kullanıcı tabanı oluşturmayı amaçlamış olması veya uygulamada bu değişikliği kötü niyetli bir aktörün yapmış olması mümkün olsa da; ESET araştırmacısı Lukáš Štefenko, şu ana kadar bu hipotezlerin hiçbiri için kanıtımız olmadığını söyledi.
Başka bir deyişle, uygulamanın kötü niyetli aktörler tarafından ele geçirilmiş ve bir tedarik zinciri saldırısında kullanılmış olması ihtimali çok düşüktür.
iRecorder uygulamasının 1.3.8 ve daha eski sürümlerinin kötü amaçlı olmadığı söylendi, ancak bu arada onu güncellediyseniz, büyük ihtimalle tehlikeye girmişsinizdir. En kötü yanı, kurbanların uygulamaya başka izinler vermesine bile gerek kalmamasıdır. Uygulama o zamandan beri Play Store’dan kaldırıldı.