ESET araştırmacıları, Google Play mağazasında truva atına bulaşmış bir Android uygulaması buldu.
Zararsız bir şekilde adlandırılan iRecorder – Screen Recorder uygulaması, 50.000’den fazla kullanıcısının haberi olmadan, AhRat olarak bilinen gizli bir Android RAT’a (uzaktan erişim truva atı) dönüştü.
iRecorder uygulaması, kullanıcılara uygun bir ekran kaydetme işlevi sunarak masum bir şekilde başladı. Ancak daha sonraki güncellemeler, onu Google Play Store’da kötü amaçlı bir Android uygulaması haline getirdi.
Geliştiriciler, büyük ihtimalle Ağustos 2022’de piyasaya sürülen 1.3.8 sürümünde olmak üzere, gizlice kötü amaçlı işlevsellik tanıttılar. ESET, Google App Defence Alliance iş ortağı rolüyle bu değişikliği algıladı ve truva atına bulaştırılmış Android uygulamasında yer alan kötü amaçlı yazılımı AhRat olarak adlandırdı.
Bu truva atına bulaştırılmış Android uygulaması olayını diğerlerinden ayıran şey, uygulamanın ilk sürümü ile kötü amaçlı kodun kullanıma sunulması arasındaki olağandışı gecikmedir ve bu da durumu araştırmacılar için kafa karıştırıcı bir durum haline getirir.
Tehdit aktörlerinden yeni bir Android RAT kampanyası
ESET’in analizi, AhRat’ın belirli uzantılara sahip dosyalara sızdığını ve cihazın mikrofonu tarafından yakalanan sesi kaydettiğini ortaya koyuyor.
Bu eylemlerin birleşimi, bir casusluk kampanyasına dahil olmayı kuvvetle önerir. Uygulama, web sayfaları, resimler, ses, video, belge dosyaları ve sıkıştırılmış biçimler dahil olmak üzere çeşitli dosya türlerini gizlice ele geçirir. Bu bulgular, hassas kullanıcı bilgilerine yetkisiz erişim için endişe verici potansiyelin altını çiziyor.
AhRat, Android RAT’ler alanında yeni bir katılımcı olsa da, AhMyth çerçevesi Google Play mağazasını ilk kez ele geçirmiyor.
ESET araştırmacıları daha önce 2019’da, AhMyth temelleri üzerine inşa edilen casus yazılımın, bir radyo yayın hizmeti gibi görünerek Google’ın uygulama inceleme sürecini nasıl atlattığını gösteren, truva atına bulaştırılmış bir uygulama ortaya çıkardı.
AhMyth tabanlı kötü amaçlı yazılımların yeniden ortaya çıkışı, uygulama mağazalarının karmaşık tehditlerle mücadelede karşılaştığı kalıcı zorlukların altını çiziyor.
ESET’in Google App Defence Alliance ile ortaklığı sayesinde, kötü amaçlı iRecorder uygulaması hızla belirlendi ve bulguları Google ile hemen paylaşıldı.
Sonuç olarak, uygulama Google Play mağazasından hızlı bir şekilde kaldırıldı ve bundan şüphelenmeyen kullanıcılara olası zararlar azaltıldı.
Bu işbirlikçi çaba, mobil kötü amaçlı yazılım tehditlerinin sürekli gelişen manzarasını ele almak için sürekli tetikte olmanın ve hızlı yanıt vermenin önemini gösteriyor.
Truva atına bulaşmış Android uygulaması sorunundan korunma
AhRat’ın iRecorder’da keşfedilmesi, mobil uygulamaların geniş ekosisteminde gizlenen risklerin önemli bir hatırlatıcısıdır. Mobil güvenliği artırmak için bazı temel adımlar şunlardır:
- Truva atına bulaşmış veya kötü amaçlı uygulamalarla karşılaşma riskini en aza indirmek için resmi uygulama mağazaları gibi saygın kaynaklardan uygulama indirin.
- Herhangi bir uygulamayı yüklemeden önce, olası tehlike işaretlerini veya bildirilen sorunları belirlemek için kullanıcı incelemelerini ve derecelendirmelerini kontrol edin.
- Cihazınızın işletim sistemini ve uygulamalarını güncel tutun.
- AhRat gibi Android RAT’ler dahil olmak üzere kötü amaçlı yazılımlara karşı gerçek zamanlı koruma sağlayan güvenilir bir mobil güvenlik çözümü kurun.
Android kullanıcıları için uyandırma çağrısı
Android platformu, iOS’tan daha fazla özellik ve özelleştirme sunarken, dezavantajları da var. iRecorder uygulamasına sızan AhRat hakkındaki ESET Android RAT araştırması, Android akıllı telefon kullanıcıları için bir uyandırma çağrısı görevi görüyor.
Bu kampanyalar, uygulamaları yüklerken ve sağlam bir güvenlik duruşunu sürdürürken dikkatli olmanın önemini vurguluyor. Bilgili kalarak, en iyi güvenlik uygulamalarını benimseyerek ve saygın güvenlik çözümlerine güvenerek, mobil uygulama ormanında güvenle gezinebilir ve kendimizi Android RAT’ler gibi gizli tehditlerden koruyabiliriz.
Medya Sorumluluk Reddi:
Bu rapor, çeşitli yollarla elde edilen şirket içi ve şirket dışı araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar, bu bilgilere güvendikleri için tüm sorumluluğu üstlenirler. Cyber Express, bu bilgilerin kullanılmasının doğruluğu veya sonuçları için hiçbir sorumluluk kabul etmez.