Bir siber güvenlik firması, Google’ın uygulama mağazasında on binlerce indirme sayısına ulaşan tanınan bir Android ekran kayıt uygulamasının, daha sonra kullanıcının telefonundan mikrofon kayıtlarını ve öbür dokümanları çalmak da dahil olmak üzere kullanıcılarını gözetlemeye başladığını söylüyor.
1 YIL BOYUNCA ARALIKSIZ İZLEDİLER
ESET tarafından yapılan araştırma, “iRecorder – Screen Recorder” adlı Android uygulamasının, Google Play’de birinci kere listelenmesinden neredeyse bir yıl sonra bir uygulama güncellemesi olarak makûs gayeli kodu tanıttığını ortaya çıkardı. ESET’e nazaran kod, uygulamanın her 15 dakikada bir aygıtın mikrofonundan bir dakikalık ortam sesini gizlice yüklemesine ve kullanıcının telefonundan doküman, web sayfası ve medya belgelerini sızdırmasına müsaade verdi.
Durumun anlaşılmasının akabinde Google, bu uygulamayı mağaza listesinden kaldırdı. Ayrıyeten şirket, uygulamayı yükleyen bireylerin vakit kaybetmeden telefondan kaldırmaları gerektiğini söyledi. Kelam konusu ziyanlı uygulama, uygulama mağazasından kaldırıldığında 50.000’den fazla indirilmişti.
ESET, AhMyth isimli açık kaynaklı bir uzaktan erişim truva atının özelleştirilmiş bir versiyonu olan ziyanlı kodu AhRat olarak isimlendiriyor. Uzaktan erişim truva atları (veya RAT’lar), kullanıcının aygıtına geniş erişim avantajından yararlanıyor ve çoklukla uzaktan denetim içerebiliyor, tıpkı vakitte casus yazılım ve takip yazılımlarına misal halde fonksiyon görüyor.
VİRÜS, TELEFONLARA GÜNCELLEME İLE YÜKLENDİ
Zararlı yazılımı keşfeden ESET güvenlik araştırmacısı Lukas Stefanko, bir blog yazısında iRecorder uygulamasının Eylül 2021’de birinci defa piyasaya sürüldüğünde hiçbir ziyanlı özellik içermediğini söyledi.
Kötü emelli AhRat kodu mevcut kullanıcılara (ve uygulamayı direkt Google Play’den indirecek yeni kullanıcılara) bir uygulama güncellemesi olarak gönderildikten sonra, uygulama kullanıcının mikrofonuna gizlice erişmeye ve kullanıcının telefon bilgilerini berbat hedefli yazılımın operatörü tarafından denetim edilen bir sunucuya yüklemeye başladı.
Stefanko, uygulamanın tabiatı gereği aygıtın ekran kayıtlarını yakalamak için tasarlandığı ve aygıtın mikrofonuna erişim müsaadesi isteyeceği göz önüne alındığında, ses kaydının “halihazırda tanımlanmış uygulama müsaadeleri modeline uyduğunu” söyledi.
