Trojan’dan ekran kaydedici iRecorder ses ve manzarayı kaydeder ve siber hatalara gönderir
Siber güvenlik şirketi ESET, meşru Android uygulaması iRecorder’ın bir yıl içinde kullanıcılarını gözetleyen berbat bir hedefli uygulamaya dönüştüğünü açıkladı.
ESET araştırmacıları, bir ‘Ekran Kaydedici’ olan iRecorder adlı trojenleştirilmiş bir Android uygulaması keşfettiler. Eylül 2021 itibariyle Google Play’de yasal olarak kullanıma sunulan uygulamaya, Ağustos 2022’de kötü amaçlı işlevlerin eklendiği düşünülüyor. Mağazada kaldığı süre boyunca uygulama 50 binden fazla cihaza yüklendi. iRecorder’ın paket sürümüne eklenen kötü amaçlı kod, açık kaynak kodlu AhMyth Android RAT’a (uzaktan erişim truva atı) dayalıdır ve ESET tarafından AhRat olarak adlandırılmıştır. Berbat uygulama, cihazın mikrofonunu kullanarak ses kaydedebilir ve belgeleri oynatabilir; bu da onun bir casusluk kampanyasına karışmış olabileceğini gösteriyor.
Casusluk baskınlarında kullanılmış olabilir
ESET Research, internette Google Play Store dışında herhangi bir AhRat tespit etmediğini paylaştı. Ancak bu, AhMyth tabanlı kötü niyetli Android yazılımının ilk yasal sürümü değil; ESET daha önce 2019’da böyle bir truva atı bulaşmış uygulama hakkında araştırma yayınlamıştı. O zamanlar AhMyth’in temelleri üzerine inşa edilen casus yazılım, Google’ın uygulama inceleme sürecini kötü niyetli bir radyo yayın uygulaması olarak iki kez atlamıştı. Ancak, iRecorder uygulaması alternatif ve yasa dışı Android pazarlarında da bulunabilir ve geliştiricinin Google Play’de kötü amaçlı kod içermeyen başka uygulamaları da olabilir.
Bahsi geçen tehdidi keşfeden ve araştıran ESET araştırmacısı ve araştırmacısı Lukáš Štefanko, “AhRat araştırması, başlangıçta yasal olan bir uygulamanın zamanla nasıl kötü amaçlı bir kötü amaçlı yazılıma dönüşebileceğinin, kullanıcıları gözetleyerek ve bir güvenlik ihlaline neden olabileceğinin güzel bir örneğidir. Uygulama geliştiricisinin, bir güncelleme yoluyla Android cihazlarını riske atmadan önce bir kullanıcı tabanı oluşturmayı amaçlamış olması veya uygulamada değişikliği kötü niyetli bir aktörün yapmış olması mümkün olsa da; Şimdiye kadar, bu hipotezlerin hiçbiri için kanıtımız yok.”
Hem ekran hem de ortam sesini kaydedebilir.
Uzaktan kumandalı AhRat, açık kaynaklı AhMyth RAT’ın uyarlanmış bir versiyonudur. Bu, berbat uygulamanın yazarlarının hem uygulamayı hem de arka uç kodunu anlamak için çok çaba harcadıkları ve nihayetinde kendi ihtiyaçlarına göre uyarladıkları anlamına gelir. Yasal ekran kaydetme işlevinin yanı sıra, kötü amaçlı iRecorder, cihazın mikrofonundan çevredeki sesi kaydedebilir ve bunu saldırganın komuta ve kontrol sunucusuna yükleyebilir. Kaydedilmiş İnternet sayfaları, resimler, ses, video ve kağıt belgeleri ve birden çok belgeyi sıkıştırmak için kullanılan belge biçimlerini gösteren uzantılara sahip belgelerden de sızabilir.
Ancak iRecorder’ın önceki sürümlerini, yani pak’ı (1.3.8 sürümünden önce) indirmiş olan Android kullanıcıları, uygulamayı manuel veya otomatik olarak güncellediklerinde ek bir uygulama onayı vermeseler bile cihazlarını AhRat’a maruz bırakabilirler.
Lukáš Štefenko sözlerini şöyle sürdürdü: “Neyse ki kötü niyetli eylemler karşısında bu şekilde alınan önleyici tedbirler, çoğunlukla Android 11 ve üzeri sürümlerde uygulama bekleme modundayken uygulanıyor. Bu özellik, birkaç aydır uykuda olan uygulamaları aktif olarak hazırda bekleterek, çalışma zamanı izinlerini sıfırlar ve kötü amaçlı uygulamaların istendiği gibi çalışmasını engeller. Uyarımızın ardından, kötü amaçlı uygulama Google Play’den kaldırıldı ve ESET Mobile Security gibi birden çok koruma katmanına duyulan ihtiyacın, cihazları olası güvenlik ihlallerinden korumak için temel olduğunu kanıtladı.
ESET Araştırması, bu etkinliğin belirli bir kampanyayla mı yoksa APT kümesiyle mi ilgili olduğuna dair somut bir kanıt bulamadı.
Kaynak: (BYZHA) Beyaz Haber Ajansı
