Bir yıldır takip edilen kullanıcılar… Google hemen kaldırın dedi!
Bir siber güvenlik firması, Google’ın uygulama mağazasında on binlerce kez indirilen tanınmış bir Android ekran kayıt uygulamasının daha sonra kullanıcılarını gözetlemeye başladığını ve buna kullanıcının telefonundan mikrofon kayıtları ve diğer belgeleri çalmaya başladığını söyledi.
1 YILDIR SÜREKLİ İZLENİYOR
ESET tarafından yapılan araştırma, “iRecorder – Ekran Kaydedici”Android adlı Android uygulamasının, Google Play’de ilk kez listelenmesinden yaklaşık bir yıl sonra kötü amaçlı kodu uygulama güncellemesi olarak tanıttığı ortaya çıktı. ESET’e göre, kod, uygulamanın her 15 dakikada bir cihazın mikrofonundan bir dakikalık ortam sesini gizlice yüklemesine ve kullanıcının telefonundan belgeleri, web sayfalarını ve medya belgelerini sızdırmasına izin verdi.
Durumun anlaşılmasının ardından Google, bu uygulamayı mağaza listesinden kaldırdı. Ayrıca şirket, uygulamayı yükleyen kişilerin vakit kaybetmeden telefondan kaldırması gerektiğini söyledi. Hasarlı uygulama, uygulama mağazasından kaldırıldığında 50.000’den fazla kez indirildi.
ESET, AhMyth adlı açık kaynaklı bir uzaktan erişim truva atının özelleştirilmiş bir sürümü olan kötü amaçlı kod AhRat’ı çağırır. Uzaktan erişim truva atları (veya RAT’ler), kullanıcının cihazına geniş erişim avantajından yararlanır ve casus yazılım ve izleme yazılımlarına benzer şekilde işlev görürken genellikle uzaktan kumanda içerebilir.
GÜNCELLEME İLE TELEFONLARA VİRÜS YÜKLENDİ
Kötü amaçlı yazılımı keşfeden ESET güvenlik araştırmacısı Lukas Stefanko, bir blog gönderisinde iRecorder uygulamasının Eylül 2021’de ilk piyasaya sürüldüğünde herhangi bir kötü amaçlı özellik içermediğini söyledi.
Kötü amaçlı AhRat kodu, mevcut kullanıcılar (ve uygulamayı doğrudan Google Play’den indirecek olan yeni kullanıcılar) tarafından kullanılabilir. Uygulama güncellemesi olarak gönderildikten sonra, uygulama gizlice kullanıcının mikrofonuna girmeye ve kullanıcının telefon verilerini kötü amaçlı yazılımın operatörü tarafından kontrol edilen bir sunucuya yüklemeye başladı.
Stefanko, uygulamanın doğası gereği cihazın ekran kayıtlarını yakalamak için tasarlandığını ve cihazın mikrofonuna erişmek için izin isteyeceğini göz önünde bulundurarak şunları söyledi: “şu anda tanımlanmış uygulama izinleri modeline uyar”söylenmiş.