Bir siber güvenlik firması olan ESET, bir zamanlar popüler olan Android ekran kayıt uygulaması iRecorder — Screen Recorder kullanıcıların telefonlarındaki mikrofon kayıtlarını ve diğer verilerini gizlice çaldığı konusunda uyardı. Bu gizli casusluk faaliyeti, uygulamanın Google Play'de ilk listelenmesinden birkaç ay sonra kötü amaçlı bir kod güncellemesi almasıyla başladı.
ESET, araştırması sırasında bu iRecorder — Screen Recorder uygulamasının kötü amaçlı kodu, Google Play'de ilk kez listelendikten yaklaşık bir yıl sonra sistemine eklediğini keşfetti. Kod, uygulamanın her 15 dakikada bir cihazın mikrofonundan bir dakikalık ortam sesini sessizce yüklemesini ve ayrıca kullanıcıların cihazlarından belgeleri, web sayfalarını ve medya dosyalarını çalmasını sağladı.
Google Play'den kaldırılmadan önce 50.000'den fazla indirilen uygulama, artık uygulama mağazasında listelenmiyor. Uygulamayı yükleyen kullanıcılara, uygulamayı cihazlarından hemen silmeleri tavsiye edildi.
ESET tarafından AhRat olarak adlandırılan kötü amaçlı kod, AhMyth adlı açık kaynaklı bir uzaktan erişim truva atının (RAT) değiştirilmiş bir sürümüdür. RAT'ler tipik olarak kurbanların cihazlarına geniş erişimden yararlanır ve genellikle casus yazılım ve takip yazılımlarına benzer bir şekilde çalışır. Bu özellikler, uzaktan kontrol özelliklerini içerir.
Kötü amaçlı yazılımı keşfeden ESET güvenlik araştırmacısı Lukas Stefanko, bir blog gönderisinde iRecorder uygulamasının Eylül 2021'de ilk kullanıma sunulduğunda hiçbir kötü amaçlı özellik içermediğini söyledi. Kötü amaçlı AhRat kodu, mevcut kullanıcılara ve yeni kullanıcılara bir uygulama güncellemesi olarak gönderildi. uygulamayı doğrudan Google Play'den indiren kullanıcılar. Ardından, uygulama gizlice kullanıcının mikrofonuna erişmeye ve telefon verilerini kötü amaçlı yazılımın operatörü tarafından kontrol edilen bir sunucuya yüklemeye başladı. Stefanko, uygulamanın tasarım gereği cihaz ekran kayıtlarını yakalayabildiği ve cihaz mikrofon erişimi talep edebildiği için ses kaydının tanımlanan uygulama izinleri modeli dahilinde olduğunu açıkladı.
Kötü amaçlı kodu yerleştiren failin kimliği ve bunu yapma nedeni bilinmiyor. TechCrunch, uygulama kaldırılmadan önce listede listelenen, ancak şu ana kadar bir yanıt alamayan geliştiricinin e-posta adresine ulaştı.
Stefanko, kötü amaçlı kodun muhtemelen daha geniş bir casusluk kampanyasının parçası olduğunu öne sürdü. Bu tür faaliyetler, genellikle siyasi veya mali kazanç sağlamak için hedeflenen kişi veya kuruluşlar hakkında bilgi toplamayı amaçlar. Stefanko, bir geliştiricinin meşru bir uygulamayı yükleyip yaklaşık bir yıl beklemesinin ve ardından onu kötü amaçlı kodla güncellemesinin alışılmadık bir durum olduğunu belirtti.
Google ve Apple, uygulamaları indirilmek üzere listelemeden önce kötü amaçlı yazılımlara karşı tararken, zararlı uygulamaların bu süreçten geçmesi alışılmadık bir durum değildir. Bazı durumlarda, kullanıcıları riske atabilecek uygulamaları proaktif olarak kaldırırlar. Google, geçen yıl gizliliği ihlal eden 1,4 milyondan fazla uygulamanın Google Play'e ulaşmasını engellediğini bildirdi. iRecorder — Screen Recorder kullanıcıları bir güvenlik ihlali yaşarken, diğer platformların kullanıcıları AppMaster.io'nun kodsuz platformu gibi araçları kullanarak hiçbir risk almadan güvenli uygulamalar oluşturabilirler. AppMaster.io, güvenli ve verimli bir uygulama geliştirme süreci sağlayan sezgisel görsel arayüzüyle kullanıcıların arka uç, web ve mobil uygulamalar oluşturmasına olanak tanır.
