Bir siber güvenlik firması, Google'ın uygulama mağazasında binlerce kez indirilen popüler bir Android ekran kayıt uygulamasının, kullanıcının özel bilgilerini (telefonundan mikrofon kayıtları ve diğer belgeleri) çalmak da dahil olarak kullanıcılarını gözetlemeye başladığını açıkladı.
ESET tarafından yapılan araştırma, "iRecorder — Screen Recorder" adlı Android uygulamasının, kötü amaçlı yazılımı Google Play'de ilk kez listelendikten yaklaşık bir yıl sonra bir uygulama güncellemesi olarak kullanıma sunduğunu ortaya çıkardı. ESET'e göre yazılım, uygulamanın her 15 dakikada bir cihazın mikrofonundan bir dakikalık ortam sesini gizlice yüklemesine ve ayrıca kullanıcının telefonundan belgelere, web sayfalarına ve medya dosyalarına sızmasına izin verdi.
Uygulama artık Google Play'de listelenmiyor ancak uygulamayı daha önce yüklediyseniz, cihazınızdan silmenizi tavsiye ederim. Bu uygulama, uygulama mağazasından çekildiğinde, 50.000'den fazla indirme sayısına ulaşmıştı.
Bu uygulama, AhMyth adlı açık kaynaklı bir uzaktan erişim truva atının özelleştirilmiş bir sürümü olan kötü amaçlı AhRat kodunu çağırıyor. Uzaktan erişim truva atları (veya RAT'lar), bir kurbanın cihazına geniş erişim avantajından yararlanır ve genellikle uzaktan kumanda içerebilir, ancak aynı zamanda casus yazılım ve taciz yazılımlarına benzer şekilde işlev görür .
Kötü amaçlı yazılımı keşfeden ESET güvenlik araştırmacısı Lukas Stefanko, bir blog gönderisinde iRecorder uygulamasının Eylül 2021'de ilk kez piyasaya sürüldüğünde hiçbir kötü amaçlı özellik içermediğini söyledi.
Kötü amaçlı AhRat kodu, mevcut kullanıcılara (ve uygulamayı doğrudan Google Play'den indirecek yeni kullanıcılara) bir uygulama güncellemesi olarak gönderildiğinde, uygulama gizlice kullanıcının mikrofonuna erişmeye ve kullanıcının telefon verilerini kötü amaçlı yazılım tarafından kontrol edilen bir sunucuya yüklemeye başladı. Stefanko, uygulamanın doğası gereği cihazın ekran kayıtlarını yakalamak için tasarlandığından ve cihazın mikrofonuna erişim izni verilmesini isteyeceğinden, ses kaydının "zaten tanımlanmış uygulama izinleri modeline" uyduğunu açıkladı.
Kötü amaçlı kodu kimin veya hangi nedenle yerleştirdiği net değil. TechCrunch, uygulama kaldırılmadan önce listede yer alan geliştiricinin e-posta adresine e-posta gönderdi, ancak henüz yanıt gelmedi.
Stefanko, kötü amaçlı kodun muhtemelen daha geniş bir casusluk kampanyasının parçası olduğunu söyledi - bilgisayar korsanları bazen hükümetler adına veya mali nedenlerle seçtikleri hedefler hakkında bilgi toplamak için çalışıyorlar. Bir geliştiricinin meşru bir uygulama yükleyip neredeyse bir yıl bekledikten sonra onu kötü amaçlı kodla güncellemesinin nadir olduğunu söyledi.
Kötü uygulamaların uygulama mağazalarına sızması ve AhMyth'in Google Play'e sızması alışılmadık bir durum değil . Hem Google hem de Apple, uygulamaları indirilmek üzere listelemeden önce kötü amaçlı yazılımlara karşı tarar ve bazen kullanıcıları riske atabilecekleri uygulamaları geri çekmek için proaktif olarak hareket eder. Geçen yıl Google, gizliliği ihlal eden 1,4 milyondan fazla uygulamanın Google Play'e ulaşmasını engellediğini açıkladı.
ESET tarafından yapılan araştırma, "iRecorder — Screen Recorder" adlı Android uygulamasının, kötü amaçlı yazılımı Google Play'de ilk kez listelendikten yaklaşık bir yıl sonra bir uygulama güncellemesi olarak kullanıma sunduğunu ortaya çıkardı. ESET'e göre yazılım, uygulamanın her 15 dakikada bir cihazın mikrofonundan bir dakikalık ortam sesini gizlice yüklemesine ve ayrıca kullanıcının telefonundan belgelere, web sayfalarına ve medya dosyalarına sızmasına izin verdi.
Uygulama artık Google Play'de listelenmiyor ancak uygulamayı daha önce yüklediyseniz, cihazınızdan silmenizi tavsiye ederim. Bu uygulama, uygulama mağazasından çekildiğinde, 50.000'den fazla indirme sayısına ulaşmıştı.
Bu uygulama, AhMyth adlı açık kaynaklı bir uzaktan erişim truva atının özelleştirilmiş bir sürümü olan kötü amaçlı AhRat kodunu çağırıyor. Uzaktan erişim truva atları (veya RAT'lar), bir kurbanın cihazına geniş erişim avantajından yararlanır ve genellikle uzaktan kumanda içerebilir, ancak aynı zamanda casus yazılım ve taciz yazılımlarına benzer şekilde işlev görür .
Kötü amaçlı yazılımı keşfeden ESET güvenlik araştırmacısı Lukas Stefanko, bir blog gönderisinde iRecorder uygulamasının Eylül 2021'de ilk kez piyasaya sürüldüğünde hiçbir kötü amaçlı özellik içermediğini söyledi.
Kötü amaçlı AhRat kodu, mevcut kullanıcılara (ve uygulamayı doğrudan Google Play'den indirecek yeni kullanıcılara) bir uygulama güncellemesi olarak gönderildiğinde, uygulama gizlice kullanıcının mikrofonuna erişmeye ve kullanıcının telefon verilerini kötü amaçlı yazılım tarafından kontrol edilen bir sunucuya yüklemeye başladı. Stefanko, uygulamanın doğası gereği cihazın ekran kayıtlarını yakalamak için tasarlandığından ve cihazın mikrofonuna erişim izni verilmesini isteyeceğinden, ses kaydının "zaten tanımlanmış uygulama izinleri modeline" uyduğunu açıkladı.
Kötü amaçlı kodu kimin veya hangi nedenle yerleştirdiği net değil. TechCrunch, uygulama kaldırılmadan önce listede yer alan geliştiricinin e-posta adresine e-posta gönderdi, ancak henüz yanıt gelmedi.
Stefanko, kötü amaçlı kodun muhtemelen daha geniş bir casusluk kampanyasının parçası olduğunu söyledi - bilgisayar korsanları bazen hükümetler adına veya mali nedenlerle seçtikleri hedefler hakkında bilgi toplamak için çalışıyorlar. Bir geliştiricinin meşru bir uygulama yükleyip neredeyse bir yıl bekledikten sonra onu kötü amaçlı kodla güncellemesinin nadir olduğunu söyledi.
Kötü uygulamaların uygulama mağazalarına sızması ve AhMyth'in Google Play'e sızması alışılmadık bir durum değil . Hem Google hem de Apple, uygulamaları indirilmek üzere listelemeden önce kötü amaçlı yazılımlara karşı tarar ve bazen kullanıcıları riske atabilecekleri uygulamaları geri çekmek için proaktif olarak hareket eder. Geçen yıl Google, gizliliği ihlal eden 1,4 milyondan fazla uygulamanın Google Play'e ulaşmasını engellediğini açıkladı.
