ESET’teki siber güvenlik araştırmacıları kısa bir süre önce, Google Play Store’dan indirilebilen ve halihazırda on binlerce yüklemeyi bir araya getiren bir Android ekran kayıt uygulamasında gizlenen, daha önce tanımlanamayan bir uzaktan erişim truva atı (RAT) gibi önemli bir keşif yaptı.
İlk olarak Eylül 2021’de kullanıma sunulan “iRecorder – Ekran Kaydedici” uygulaması, Ağustos 2022’de yasal bir ekran kayıt uygulaması kisvesi altında ses kaydı ve dosya erişim izinleri isteyerek kullanıcıları aldatmak için adını kullanan kötü amaçlı bir güncelleme yoluyla potansiyel olarak ele geçirildi.
Bunun dışında uygulama, kaldırılmadan önce Google Play Store’da 50.000’den fazla yükleme gerçekleştirerek, kullanıcıların kötü amaçlı yazılım bulaşmasına maruz kalma endişesini artırdı.
Bildirim alındıktan sonra iRecorder, kötü niyetli davranışı nedeniyle Google Play mağazasından kaldırıldı, ancak yine de resmi olmayan Android pazarlarından edinilebiliyor.
iRecorder’ın geliştiricisi, Google Play’de başka uygulamalar sunmanın yanı sıra, uygulamalarının herhangi bir kötü amaçlı kod veya zararlı öğe içermediğinden emin olur.
Google Play’de Android Kötü Amaçlı Yazılım
Açık kaynaklı Android RAT AhMyth’ten türetilen ve AhRat olarak bilinen kötü amaçlı yazılım, cihaz takibini ve daha fazlasını kapsayan kapsamlı yeteneklere sahiptir.
Aşağıda, operatörlerine sunduğu tüm yeteneklerden bahsetmiştik:-
- Konum
- Arama kayıtlarını çalmak
- Kişiler
- Metin mesajları
- SMS mesajları gönderme
- fotoğraf çekmek
- Arka plan sesini kaydetme
ESET, kötü amaçlı ekran kayıt uygulamasının, RAT’ın işlevlerinin yalnızca bir kısmını kullandığını, ortam sesini yakalamaya ve belirli uzantıların dosyalarını çalmaya odaklandığını keşfetti, bu da olası bir casusluk faaliyetine işaret ediyor.
Ayrıca ESET daha önce 2019’da AhMyth tabanlı Android kötü amaçlı yazılımının kendisini bir radyo yayın uygulaması kılığına girerek Google Play’in güvenlik kontrollerinden iki kez başarıyla kaçtığı ve platformda AhMyth sızmasıyla ilgili yinelenen bir sorunu vurguladığı bir vakayı ortaya çıkarmıştı.
AhRat, kurulumun ardından temel cihaz ayrıntılarını paylaşırken aynı anda şifreleme anahtarlarını ve bir yapılandırma dosyasını şifreli biçimde alarak C&C sunucusuyla iletişimi başlatır.
İlk iletişimin ardından AhRat, C&C sunucusuyla düzenli bir bağlantı kurar ve güncellenmiş bir yapılandırma dosyası istemek için her 15 dakikada bir periyodik pingler gönderir.
AhRat, C&C sunucusundan yapılandırma dosyasında alınan talimatlara dayalı olarak 18 komutu yürütmek üzere tasarlanmıştır. Ancak, RAT yalnızca aşağıda belirttiğimiz altı komutu yürütebilir: –
- RECORD_MIC
- DOSYA_LİSTESİ
- UPLOAD_FILE_AFTER_DATE
- LIMIT_UPLOAD_FILE_SIZE
- UPLOAD_FILE_TYPE
- UPLOAD_FILE_FOLDER
Bununla birlikte, Android 11 ve sonraki sürümler, bu tür kötü amaçlı etkinliklere karşı koruma sağlamak için Uygulama hazırda bekletme gibi proaktif önlemleri zaten dahil etmiştir.
Hazırda bekletme özelliği, kullanılmayan uygulamaların çalışma zamanı izinlerini sıfırlayarak amaçlanan kötü amaçlı faaliyetlerini önler ve ardından kötü amaçlı uygulamanın Google Play’den kaldırılması, çok katmanlı korumanın önemini pekiştirir.
Cihaz Duruş Güvenliği ile Kimlik Avı Saldırılarını Durdurun – Ücretsiz E-Kitap İndirin