Bir zamanlar gerçek bir Android uygulaması olduğu düşünülen iRecorder – Screen Recorder uygulamasının içinde kötü amaçlı bir Android uzaktan erişim Truva Atı’nın (RAT) gizlendiği ortaya çıktı. Bu keşif, AhMyth’in bir varyasyonunu ortaya çıkaran ESET’in siber güvenlik uzmanları tarafından yapıldı. AhMyth, Android cihazlardan hassas verileri alabilen açık kaynaklı bir uzaktan yönetim uygulamasıdır.
iRecorder – Ekran Kaydedici, Eylül 2021’de ilk piyasaya sürüldüğünde ve 50.000’den fazla yüklemeyle övündüğünde, ekran etkinliğini yakalamak için risksiz bir uygulama olduğu izlenimini verdi. Ancak ESET tarafından yürütülen en güncel araştırma, uygulamanın Ağustos 2022’de 1.3.8 sürümü olarak yayınlanan en son güncellemesinde zararlı bir kodun varlığını ortaya çıkardı. ESET’teki araştırmacılar, belirli uzantılara sahip dosyaları ve mikrofon kayıtlarını dışarı sızdırma ve bunları saldırganın komuta ve kontrol (C2) sunucusuna yükleme yeteneğine sahiptir. Program, Ağustos 2022’de kullanıcılara sunulan 1.3.8 sürümüne yükseltildiğinde zararlı kodun dahil edilmiş olması muhtemeldir. Bununla birlikte, iRecorder’ın herhangi bir kötü amaçlı özellik içermeyen daha eski bir sürümünü (1.3.8 sürümünden önce) yüklemiş olan Android kullanıcıları, daha sonra uygulamayı manuel veya otomatik olarak güncelleseler bile bilmeden cihazlarını AhRat’a maruz bırakacaklardı. başka bir uygulama izni onayı vermediler. Başka bir uygulama izni onayı vermeseler bile durum buydu.
ESET araştırmacılarının bulgularına göre, yasal bir uygulamaya zararlı kod eklenmesi, kötü niyetli Android uygulamalarının yaygınlığına göre çok daha seyrek. AhMyth’i kullandı. Bu grup, Güney Asya ülkelerindeki hükümet ve askeri kurumları hedef almanın yanı sıra toplum mühendisliği taktiklerini yaygın olarak kullanmasıyla ünlüdür.
Soruşturma sırasında, AhMyth RAT’a dayanan iki farklı kötü amaçlı kötü amaçlı yazılım çeşidiyle karşılaştılar. iRecorder’ın kötü amaçlı olan ilk sürümü, AhMyth RAT’ın herhangi bir ayarlama yapılmadan kopyalanmış kötü amaçlı kod parçalarına sahipti. AhRat adını verdiğimiz ikinci kötü amaçlı sürüm de Google Play’den erişilebilir durumdaydı. İçerdiği AhMyth kodu değiştirilmişti ve buna C&C sunucusu ile arka kapı arasındaki bağlantının yanı sıra kötü amaçlı yazılımın kendisi de dahildi. iRecorder, bu özel değiştirilmiş kod parçasına sahip olduğu tespit edilen tek uygulamadır.
AhMyth RAT, çeşitli zararlı işlemleri gerçekleştirme yeteneğine sahip güçlü bir araçtır. Bu yetenekler, cihazdaki dosyaların bir listesini almayı, cihazın konumunu belirlemeyi, arama günlüklerini, kişileri ve kısa mesajları dışarı sızdırmayı, cihazdaki dosyaların bir listesini almayı ve SMS mesajları göndermeyi, ses kaydetmeyi ve fotoğraf çekmeyi içerir. Ancak burada incelenen AhMyth RAT’ın her iki versiyonunda da, orijinal AhMyth RAT’ta yer alan tehlikeli özelliklerin yalnızca küçük bir alt kümesini buldular. Bu özellikler, daha önce belirtilen ve cihazda depolanan dosyalara erişime izin veren ve ses kaydına izin veren uygulama izinleri modeline uygun görünüyordu. Ek olarak, kameranın kayıt özelliklerine erişim izni verilir. Özellikle, kötü amaçlı programın video yakalama yeteneği vardı, bu nedenle ses kaydı yapmak ve cihaza kaydetmek için izin almak isteyeceği tahmin ediliyordu. Kötü amaçlı program yüklendikten sonra, geleneksel bir uygulamayla aynı şekilde hareket etti ve zararlı amacının potansiyel bir göstergesi olabilecek herhangi bir olağandışı veya ek izin istemedi.
ESET’ten bilgi alınmasının ardından Google Play’deki güvenlik ekibi, iRecorder – Screen Recorder uygulamasını resmi mağazasından hızla sildi. Bununla birlikte, uygulamanın Google tarafından resmi olarak onaylanmayan Android pazar yerlerinde hala bulunabileceğini belirtmek önemlidir. iRecorder’dan sorumlu geliştiricinin Google Play’de bulunan ek programları vardır; ancak, bu uygulamalardan herhangi birinin zararlı kod içerdiğine dair bir kanıt yoktur.
Neyse ki ESET araştırmacıları, iRecorder – Screen Recorder programının yeteneklerinin ötesine geçen herhangi bir AhRat vakası bulmadı. Android kullanıcıları, alternatif kaynaklardan uygulama yüklerken dikkatli olmaları ve dikkatli olmaları konusunda uyarılır ve daha yüksek güvenlik seviyeleri için onaylı uygulama mağazalarına güvenmenin ne kadar önemli olduğu vurgulanır.
Şu anda risk altyapısı uzmanı ve araştırmacı olarak çalışan bilgi güvenliği uzmanı.
Risk ve kontrol süreci, güvenlik denetimi desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.