ESET araştırmacıları, iRecorder – Screen Recorder adlı trojenleştirilmiş bir Android uygulaması keşfettiler. Eylül 2021’de yasal bir uygulama olarak Google Play’de kullanıma sunuldu ve kötü amaçlı işlevler büyük olasılıkla Ağustos 2022’de eklendi. Var olduğu süre boyunca uygulama 50.000’den fazla cihaza yüklendi.
Trojanlı iRecorder uygulaması
iRecorder’ın temiz sürümüne eklenen kötü amaçlı kod, açık kaynaklı AhMyth Android RAT’a (uzaktan erişim truva atı) dayalıdır ve ESET’in AhRat adını verdiği şekilde özelleştirilmiştir. Kötü amaçlı uygulama, cihazın mikrofonunu kullanarak ses kaydedebilir ve dosyaları çalabilir, bu da bunun bir casusluk kampanyasının parçası olabileceğini düşündürür.
ESET Research, Google Play Store’un yanı sıra AhRat’ı vahşi doğada başka hiçbir yerde tespit etmedi. Ancak bu, AhMyth tabanlı Android kötü amaçlı yazılımının resmi mağazaya ilk çıkışı değil; ESET daha önce 2019’da böyle bir truva atı bulaşmış uygulama hakkında araştırma yayınlamıştı. O zamanlar AhMyth’in temelleri üzerine inşa edilen casus yazılım, radyo akışı sağlayan kötü amaçlı bir uygulama olarak Google’ın uygulama inceleme sürecini iki kez atlattı. Bununla birlikte, iRecorder uygulaması alternatif ve resmi olmayan Android pazarlarında da bulunabilir ve geliştirici, Google Play’de başka uygulamalar da sağlar, ancak bunlar kötü amaçlı kod içermez.
“AhRat araştırma vakası, başlangıçta yasal olan bir uygulamanın, aylar sonra bile kullanıcılarını gözetleyerek ve gizliliklerinden ödün vererek nasıl kötü niyetli bir uygulamaya dönüşebileceğinin iyi bir örneği. Uygulama geliştiricisinin, Android cihazlarını bir güncelleme yoluyla tehlikeye atmadan önce bir kullanıcı tabanı oluşturmayı amaçlamış olması veya uygulamada bu değişikliği kötü niyetli bir aktörün yapmış olması mümkün olsa da; Tehdidi keşfeden ve araştıran ESET araştırmacısı Lukáš Štefenko, şu ana kadar bu hipotezlerin hiçbiri için kanıtımız yok” şeklinde açıklıyor.
Uzaktan kontrol edilen AhRat, açık kaynaklı AhMyth RAT’ın bir özelleştirmesidir; bu, kötü amaçlı uygulamanın yazarlarının hem uygulamanın hem de arka ucun kodunu anlamak için önemli çaba harcadıkları ve nihayetinde kendi ihtiyaçlarına göre uyarladıkları anlamına gelir.
Kötü niyetli iRecorder, yasal ekran kaydetme işlevi sağlamanın yanı sıra, cihazın mikrofonundan çevredeki sesi kaydedebilir ve bunu saldırganın komuta ve kontrol sunucusuna yükleyebilir. Ayrıca, kaydedilmiş web sayfalarını, görüntüleri, ses, video ve belge dosyalarını ve birden çok dosyayı sıkıştırmak için kullanılan dosya biçimlerini temsil eden uzantılarla aygıt dosyalarından dışarı sızabilir.
iRecorder’ın herhangi bir kötü amaçlı özelliği olmayan daha eski bir sürümünü (1.3.8 sürümünden önce) yükleyen Android kullanıcıları, daha sonra herhangi bir uygulama izni vermeden uygulamayı manuel veya otomatik olarak güncellerlerse, bilmeden cihazlarını AhRat’a maruz bırakmış olacaklardır. onay.
“Neyse ki, bu tür kötü niyetli eylemlere karşı önleyici tedbirler, Android 11 ve sonraki sürümlerde uygulama hazırda bekletme şeklinde zaten uygulandı. Bu özellik, birkaç aydır uykuda olan uygulamaları etkili bir şekilde hazırda bekletme durumuna geçirir, böylece çalışma zamanı izinlerini sıfırlar ve kötü amaçlı uygulamaların amaçlandığı gibi çalışmasını engeller. ESET Mobile Security gibi birden çok katman aracılığıyla sağlanacak koruma ihtiyacının, cihazları olası güvenlik ihlallerine karşı korumak için hala gerekli olduğunu doğrulayan uyarımızın ardından kötü amaçlı uygulama Google Play’den kaldırıldı” diye sözlerini sonlandırıyor Štefenko.
ESET Araştırması, bu etkinliğin belirli bir kampanyaya veya APT grubuna atfedilmesini sağlayacak somut bir kanıt henüz bulamadı.