Bir siber güvenlik firması, Google’ın uygulama mağazasında on binlerce kez indirilen popüler bir Android ekran kayıt uygulamasının daha sonra, kullanıcının telefonundan mikrofon kayıtları ve diğer belgeleri çalmak da dahil olmak üzere kullanıcılarını gözetlemeye başladığını söyledi.
ESET tarafından yapılan araştırma, “iRecorder — Screen Recorder” adlı Android uygulamasının, kötü amaçlı kodu Google Play’de ilk kez listelendikten neredeyse bir yıl sonra bir uygulama güncellemesi olarak kullanıma sunduğunu ortaya çıkardı. ESET’e göre kod, uygulamanın her 15 dakikada bir cihazın mikrofonundan bir dakikalık ortam sesini gizlice yüklemesine ve ayrıca kullanıcının telefonundan belgelere, web sayfalarına ve medya dosyalarına sızmasına izin verdi.
uygulama artık listelenmiyor Google Play’de. Uygulamayı yüklediyseniz, cihazınızdan silmelisiniz. Kötü amaçlı uygulama, uygulama mağazasından çekildiğinde, 50.000’den fazla indirme sayısına ulaşmıştı.
ESET, AhMyth adlı açık kaynaklı bir uzaktan erişim truva atının özelleştirilmiş bir sürümü olan kötü amaçlı AhRat kodunu çağırıyor. Uzaktan erişim truva atları (veya RAT’ler), bir kurbanın cihazına geniş erişim avantajından yararlanır ve genellikle uzaktan kumanda içerebilir, ancak aynı zamanda casus yazılım ve takip yazılımlarına benzer şekilde işlev görür.
2022’de İnternet Arşivinde önbelleğe alındığı şekliyle Google Play’de listelenen iRecorder’ın ekran görüntüsü. Görsel Kaynakları: TechCrunch (ekran görüntüsü)
Kötü amaçlı yazılımı keşfeden ESET güvenlik araştırmacısı Lukas Stefanko, bir blog gönderisinde söyledi iRecorder uygulamasının Eylül 2021’de ilk kullanıma sunulduğunda hiçbir kötü amaçlı özellik içermediğini.
Kötü amaçlı AhRat kodu, mevcut kullanıcılara (ve uygulamayı doğrudan Google Play’den indirecek yeni kullanıcılara) bir uygulama güncellemesi olarak gönderildiğinde, uygulama gizlice kullanıcının mikrofonuna erişmeye ve kullanıcının telefon verilerini kötü amaçlı yazılım tarafından kontrol edilen bir sunucuya yüklemeye başladı. Şebeke. Stefanko, uygulamanın doğası gereği cihazın ekran kayıtlarını yakalamak için tasarlandığından ve cihazın mikrofonuna erişim izni verilmesini isteyeceğinden, ses kaydının “zaten tanımlanmış uygulama izinleri modeline uyduğunu” söyledi.
Kötü amaçlı kodu kimin – geliştirici mi yoksa başka biri tarafından mı – veya hangi nedenle yerleştirdiği net değil. TechCrunch, uygulama kaldırılmadan önce listede yer alan geliştiricinin e-posta adresine e-posta gönderdi, ancak henüz yanıt gelmedi.
Stefanko, kötü amaçlı kodun muhtemelen daha geniş bir casusluk kampanyasının parçası olduğunu söyledi – bilgisayar korsanları bazen hükümetler adına veya mali nedenlerle seçtikleri hedefler hakkında bilgi toplamak için çalışıyorlar. “Bir geliştiricinin meşru bir uygulama yükleyip neredeyse bir yıl bekledikten sonra onu kötü amaçlı kodla güncellemesinin nadir olduğunu” söyledi.
Kötü uygulamaların uygulama mağazalarına sızması alışılmadık bir durum değil, AhMyth’in ilk kez yaptığı da değil. yoluna girdi Google Play’e Hem Google hem de Apple, uygulamaları indirilmek üzere listelemeden önce kötü amaçlı yazılımlara karşı tarar ve bazen kullanıcıları riske atabilecekleri uygulamaları çekmek için proaktif olarak hareket eder. Google, geçen yıl söz konusu gizliliği ihlal eden 1,4 milyondan fazla uygulamanın Google Play’e ulaşmasını engelledi.
