Truva atına dönüşen ekran kaydolucusu iRecorderSes ve görüntü kaydolup siber kabahatlilere yolluyor
Siber güvenlik firmayı ESET, legal Android uygulaması iRecorder ’ın bir sene içinde makûs emelli uygulama haline dönüşerek kullanıcılarını saklıca izlediğini ortaya çıkardı.
ESET tahlilcileri, bir ‘Ekran Kaydolucusu ’ olan iRecorder isminde truva atlı bir Android uygulaması keşfetti. 2021 seneyi Eylül ayı itibariyle Google Play ’de legal olarak yer alan uygulamaya makûs emelli işlevlerinin Ağustos 2022 ’de ilave edildiği düşünülüyor. Mağazada yer aldığı müddet süresince uygulama 50 binin üzerinde aygıta yüklendi. iRecorder ’ın pak versiyonuna ilave edilen makûs emelli kod, sarih kaynaklı AhMyth Android RAT uzaktan ulaşım truva atı temelli ve ESET tarafından AhRat olarak adlandırıldı. Makûs emelli uygulama, aygıtın mikrofonunu kullanarak ses kaydı yapabilir ve dosyaları çalabilir; bu da onun bir ajanlık kampanyasına karışmış olabileceğini uslara getiriyor.
Ajanlık hamlelerinde kullanılmış olabilir
ESET Research, Google Play Store dışında internette başka AhRat tespit etmediğini paylaştı. Ancak bu, AhMyth tabanlı makûs emelli Android yazılımının mağazaya legal ilk çıkışı değil; ESET daha evvel 2019 ’da da böyle bir truva atına bulaşmış uygulama hakkında araştırma yayınlamıştı. O zamanlar, AhMyth ’in esasları üzerine inşa edilen ajan yazılım, radyo yayını yapan makûs emelli bir uygulama olarak Google ’ın uygulama analiz sürecini iki kere atlattı. Bununla beraber, iRecorder uygulaması seçenek ve legal olmayan Android pazarlarında da bulunabilir ve geliştirici, Google Play ’de makûs emelli kod kapsamayan başka uygulamalar da bulundurabilir.
ESET tahlilcisi ve söz mevzusu tehdidi keşfeden ve soruşturan Lukáš Štefanko bu vaziyeti şöyle açıkladı: “AhRat araştırması, başlangıçta legal olan bir uygulamanın nasıl zaman içinde makûs emelli bir yazılıma dönüşerek kullanıcıları saklıca izleyip güvenlik ihlaline yol açtığının hoş bir misali. Uygulama geliştiricisinin Android aygıtlarını bir aktüelleme yoluyla riske atmadan evvel bir kullanıcı tabanı oluşturmayı hedeflemesi veya uygulamada bu farklılığı makûs emelli bir oyuncunun yapmış olması olası olsa da; şimdiye kadar, bu tahminlerin hiçbiri için elimizde delil yok.”
Hem ekranı hem de etraftaki sesi kaydolabiliyor
Uzaktan hakimiyet edilen AhRat, sarih kaynaklı AhMyth RAT ’ın uyarlanmış bir versiyonu. Bu, makûs emelli uygulamanın yazarlarının, hem uygulama hem de arka uç kodunu kavramak için büyük mücadele tükettikleri ve nihayetinde kendi gereksinimlerine göre uyarladıkları anlamına kazanç. Kötücül iRecorder, legal ekran kaydı işlevinin yanı gizeme, aygıtın mikrofonundan çevredeki sesi kaydolabilir ve bunu saldırganın komuta ve hakimiyet sunucusuna yükleyebilir. Ayrıca, kaydolunmuş İnternet sayfalarını, görüntüleri, ses, video ve belge dosyalarını ve birden çok dosyayı sıkıştırmak için kullanılan dosya şekillerini gösteren uzantılarla dosyalardan dışarı sızabilir.
Ancak iRecorder ’ın eskiki, başka bir deyişle pak versiyonlarını versiyon 1.3.8 evveli indiren Android kullanıcıları, uygulamayı manuel ya da otomatik olarak aktüellediklerinde ek bir uygulama onayı vermeseler dahi aygıtları AhRat ’a maruz kalabilir.
Lukáš Štefanko sözlerine şöyle devam etti: “Neyse ki, makûs emelli eylemler karşısında bu biçimde alınan önleyici önlemler, Android 11 ve daha yüksek versiyonlarda uygulama bekleme modundayken zati uygulanmaktadır. Bu özellik, birkaç aydır uykuda olan uygulamaları faal bir biçimde hazırda bekletme vaziyetine geçirir, böylece çalışma zamanı izinlerini sıfırlar ve makûs emelli uygulamaların kastedildiği gibi çalışmasını maniler. Bizim yaptığımız ihtar sonrasında makûs emelli uygulama Google Play ’den çıkarıldı, bu da ESET Mobile Security gibi bir hayli tabakada koruma sağlanması gereksiniminin, aygıtları potansiyel güvenlik ihlallerine karşı gözetmenin esası olduğunu ispatlıyor.
ESET Research, bu etkinliğin belirli bir kampanya ya da APT grubu ile ilişkili olup olmadığı mevzusunda henüz somut bir delil bulamadı.
Kaynak: BYZHA Beyaz Haber Ajansı
