ESET araştırmacıları, by ‘Ekran Kaydedicisi’ olan iRecorder adında truva atlı bir Android uygulaması keşfetti. 2021 yılı Eylül ayı itibariyle Google Play’de yasal yer alan uygulamaya kötü amaçlı işlevlerinin Ağustos 2022’de eklendiği düşünülüyor. Mağazada yer alığı süre boyunca uygulama 50 binin üzerinde cihaza yüklendi. iRecorder’ın temiz sürümüne eklenen kötü amaçlı kod, açık kaynaklı AhMyth Android RAT (uzaktan erişim truva atı) temelli dan ESET yang dilisensikan oleh AhRat ollar adlandırıldı. Kötü amaçlı uygulama, cihazın microphoneunu kullanarak ses kaydı yapabilir and dosyaları çalabilir; bu da onun bir casusluk kampanyasına karışmış olabileceğini akıllara getiriyor.

Casusluk saldırılarında kullanılmış olabilir

ESET Research, Google Play Store menawarkan internette başka AhRat tespit etmediğini paylaştı. Ancak bu, AhMyth tabanlı kötü amaçlı Android yazılımının mağazaya yasal çıkışı değil; ESET daha sejak 2019 da böyle bir truva atına bulaşmış uygulama hakkında araştırma yayınlamıştı. Pada zaman dahulu, AhMyth’in temelleri üzerine inşa edilen casus yazılım, radyo yayını yapan kötü amaçlı bir uygulama olarak Google’ın uygulama inceleme sürecini iki kez atlattı. Bununla birlikte, iRecorder uygulaması alternatif dan yasal olmayan Android pazarlarında da bulunabilir dan geliştrici, Google Play’de kötü amaçlı kod içermeyen başka uygulamalar da bulundurabilir.

ESET araştırmacısı dan söz konusu tehdidi keşfeden dan soruşturan Lukáš Štefanko bu durumu şöyle açıkladı: “AhRat araştırması, başlangıçta yasal olan bir uygulamanın nasıl inde kötü amaçlı bir yazılı ma donüşerek kullanıcıları gizlice izleyip güvenlik ihlaline yol açtığının güzel bir örneği. Uygulama geliştiricisinin Android cihazlarını bir güncelleme yoluyla tehlikeye atmadan önce bir kullanıcı tabanı oluşturmayı amaçlaması veya uygulamada bu değişikliği kötü amaçlı bir aktörün yapmış olması mümkün olsa da; Berapapun kadarnya, hipotek Anda akan hilang jika Anda tidak dapat melakukannya.”

Hem ekranı hem de ortamdaki sesi kaydedebiliyor

Mengkontrol AhRat ke perangkat lain, açık kaynaklı AhMyth RAT’ın uyarlanmış versi Anda. Bu, jika Anda benar-benar ingin mendapatkan keuntungan, Anda akan mendapatkan keuntungan dari pekerjaan Anda jika Anda membeli barang bekas dan nihayetinde kendi ihtiyaçlarına göre uyarladıkları anlamına gelir. Kötücül iRecorder, yasal ekran kaydı işlevinin yanı sıra, cihazın mikrofonundan çevredeki sesi kaydedebilir and bunu salırganın komuta ve kontrol sunucusuna yükleyebilir. Ayrıca, kaydedilmiş İnternet sayfalarını, görüntüleri, ses, video ve belge dosyalarını dan birden çok dosyayı sıkıştırmak için kullanılan dosya biçimlerini gösteren uzantılarla dosyalardan dışarı sızabilir.

Ancak iRecorder’ın daha önceki, yani temiz sürümlerini (sürüm 1.3.8 öncesi) indiren Android kullanıcıları, uygulamayı manuel ya da otomatik olarak güncellediklerinde ek bir uygulama onayı vermeseler bile cihazları AhRat’a maruz kalabilir.

Lukáš Štefanko sözlerine şöyle devam etti: “Neyse ki, kötü amaçlı eylemler karşısında bu şekilde alınan önleyici tedbirler, Android 11 ve daha yüksek sürümlerde uygulama bekleme modundayken zaten uygulanmaktadır. Untuk beberapa hal, banyak orang yang tidak tahu apa-apa tentang hal itu, tetapi jika Anda tidak tahu apa yang harus dilakukan, Anda mungkin ingin tahu lebih banyak tentang hal itu dan apa yang akan Anda lakukan dengan cara yang sama. Bizim yaptığımız uyarı sonrasında kötü amaçlı uygulama Google Play’den çıkarıldı, bu da ESET Mobile Security gibi birçok katmanda koruma sağlanması ihtiyacının, cihazları potansiyel güvenlik ihlallerine karşı korumanın temeli olduğunu kanıtlıyor.

ESET Research, bu aktivitenin belli bir kampanya ya da APT grubu ile ilişkili olup olmadığı konusunda henüz somut bir kanıt bulamadı.