Bir siber güvenlik firması, Google’ın uygulama mağazasında on binlerce indirme sayısına ulaşan popüler bir Android ekran kayıt uygulamasının, daha sonra kullanıcının telefonundan mikrofon kayıtlarını ve diğer belgeleri çalmak da dahil olmak üzere kullanıcılarını gözetlemeye başladığını söylüyor.
1 YIL BOYUNCA ARALIKSIZ İZLEDİLER
ESET tarafından yapılan araştırma, “iRecorder – Screen Recorder” adlı Android uygulamasının, Google Play’de ilk kez listelenmesinden neredeyse bir yıl sonra bir uygulama güncellemesi olarak kötü amaçlı kodu tanıttığını ortaya çıkardı. ESET’e göre kod, uygulamanın her 15 dakikada bir cihazın mikrofonundan bir dakikalık ortam sesini gizlice yüklemesine ve kullanıcının telefonundan belge, web sayfası ve medya dosyalarını sızdırmasına izin verdi.
Durumun anlaşılmasının ardından Google, bu uygulamayı mağaza listesinden kaldırdı. Ayrıca şirket, uygulamayı yükleyen kişilerin vakit kaybetmeden telefondan kaldırmaları gerektiğini söyledi. Söz konusu zararlı uygulama, uygulama mağazasından kaldırıldığında 50.000’den fazla indirilmişti.
ESET, AhMyth adlı açık kaynaklı bir uzaktan erişim truva atının özelleştirilmiş bir versiyonu olan zararlı kodu AhRat olarak adlandırıyor. Uzaktan erişim truva atları (veya RAT’lar), kullanıcının cihazına geniş erişim avantajından yararlanıyor ve genellikle uzaktan kontrol içerebiliyor, aynı zamanda casus yazılım ve takip yazılımlarına benzer şekilde işlev görüyor.
VİRÜS, TELEFONLARA GÜNCELLEME İLE YÜKLENDİ
Zararlı yazılımı keşfeden ESET güvenlik araştırmacısı Lukas Stefanko, bir blog yazısında iRecorder uygulamasının Eylül 2021’de ilk kez piyasaya sürüldüğünde hiçbir zararlı özellik içermediğini söyledi.
Kötü amaçlı AhRat kodu mevcut kullanıcılara (ve uygulamayı doğrudan Google Play’den indirecek yeni kullanıcılara) bir uygulama güncellemesi olarak gönderildikten sonra, uygulama kullanıcının mikrofonuna gizlice erişmeye ve kullanıcının telefon verilerini kötü amaçlı yazılımın operatörü tarafından kontrol edilen bir sunucuya yüklemeye başladı.
Stefanko, uygulamanın doğası gereği cihazın ekran kayıtlarını yakalamak için tasarlandığı ve cihazın mikrofonuna erişim izni isteyeceği göz önüne alındığında, ses kaydının “halihazırda tanımlanmış uygulama izinleri modeline uyduğunu” söyledi.
