Cuma, Haziran 21, 2024
Ana SayfaTeknoloji HaberleriGoogle Play'deki yasal uygulama kötü amaçlı hale gelir ve her 15 dakikada...

Google Play’deki yasal uygulama kötü amaçlı hale gelir ve her 15 dakikada bir mikrofon kayıtları gönderir…

Google Play'deki yasal uygulama kötü amaçlı hale gelir ve her 15 dakikada bir mikrofon kayıtları gönderir

Getty Resimleri

Güvenlik firması ESET’ten bir araştırmacı, Google Play’den 50.000’den fazla indirilen bir uygulamanın, her 15 dakikada bir yakındaki sesi gizlice kaydettiğini ve bunu uygulama geliştiricisine gönderdiğini söyledi.

ESET araştırmacısı Lukas Stefanko Salı günü yayınlanan bir gönderide, iRecorder Screen Recorder adlı uygulamanın, kullanıcıların Android cihazlarının ekranlarını kaydetmelerine olanak tanıyan iyi huylu bir uygulama olarak Eylül 2021’de Google Play’de hayata başladığını söyledi. On bir ay sonra, yasal uygulama tamamen yeni işlevler eklemek için güncellendi. Cihaz mikrofonunu uzaktan açma ve ses kaydetme, saldırganın kontrolündeki bir sunucuya bağlanma ve cihazda saklanan ses ve diğer hassas dosyaları yükleme özelliklerini içeriyordu.

Her 15 dakikada bir gizli kayıt

Gizli casusluk işlevleri, son yıllarda birkaç başka Android uygulamasına dahil edilen açık kaynaklı bir RAT (uzaktan erişim Truva Atı) olan AhMyth’in kodu kullanılarak uygulandı. RAT, iRecorder’a eklendikten sonra, daha önce zararsız olan uygulamanın tüm kullanıcıları, telefonlarının yakındaki sesleri kaydetmesine ve şifreli bir kanal aracılığıyla geliştirici tarafından belirlenen bir sunucuya göndermesine izin veren güncellemeler aldı. Zaman geçtikçe, AhMyth’ten alınan kod büyük ölçüde değiştirildi, bu da geliştiricinin açık kaynak RAT ile daha usta hale geldiğinin bir göstergesi. ESET, yeni değiştirilen RAT’ı iRecorder AhRat’ta adlandırdı.

Stefanko, uygulamayı laboratuvarındaki cihazlara defalarca yükledi ve her seferinde sonuç aynı oldu: Uygulamaya, bir dakikalık ses kaydetme ve bunu, halk arasında güvenlik olarak da bilinen, saldırganın komuta ve kontrol sunucusuna gönderme talimatı verildi. C&C veya C2 olarak çevreler. Bundan böyle uygulama, süresiz olarak her 15 dakikada bir aynı talimatı alacaktı. Bir e-postada şunları yazdı:

Analizim sırasında, AhRat aktif olarak veri sızdırma ve mikrofon kaydetme yeteneğine sahipti (birkaç kez uygulamayı kaldırdım ve yeniden yükledim ve uygulama her zaman aynı şekilde davrandı).

Veri hırsızlığı, içindeki komutlara göre etkinleştirilir. [a] döndürülen yapılandırma dosyası [the] C&C. Analizim sırasında, yapılandırma dosyası her zaman ses kaydetme komutunu döndürdü, bu şu anlama gelir: [it] mikrofonu açtı, sesi kaydetti ve C2’ye gönderdi.

Yapılandırma dosyasında alınan komutlara bağlı olduğu için benim durumumda sürekli oldu. Yapılandırma her 15 dakikada bir alındı ​​ve kayıt süresi 1 dakika olarak ayarlandı. Analiz sırasında, cihazım her zaman mikrofon sesini kaydetmek ve C2’ye göndermek için komutlar aldı. 3-4 kez oldu, ardından kötü amaçlı yazılımı durdurdum.

Google sunucularında bulunan uygulamalara bağlanan kötü amaçlı yazılım pek de yeni değil. Google, platformunda kötü amaçlı yazılım keşfedildiğinde, onu bulan dışarıdan araştırmacılara teşekkür etmek ve şirketin kötü amaçlı yazılımı öğrenir öğrenmez kaldırdığını söylemek dışında yorum yapmaz. Şirket, kendi araştırmacılarının ve otomatik tarama sürecinin yabancılar tarafından keşfedilen kötü amaçlı uygulamaları gözden kaçırmasına neyin neden olduğunu hiçbir zaman açıklamadı. Google ayrıca, kendi hizmeti tarafından tanıtılan ve kullanıma sunulan uygulamalardan etkilendiğini öğrendiğinde, Play kullanıcılarına aktif olarak bildirimde bulunma konusunda isteksiz olmuştur.

Bu durumda daha sıra dışı olan şey, bu kadar geniş bir kurban tabanını aktif olarak kaydeden ve seslerini saldırganlara gönderen kötü amaçlı bir uygulamanın keşfedilmesidir. Stefanko, iRecord’un aktif bir casusluk kampanyasının parçası olma ihtimalinin yüksek olduğunu, ancak şu ana kadar durumun böyle olup olmadığını belirleyemediğini söyledi.

“Maalesef, uygulamanın belirli bir insan grubuna aktarıldığına dair herhangi bir kanıtımız yok ve uygulama açıklamasından ve daha fazla araştırmadan (olası uygulama dağıtım vektörü), belirli bir insan grubunun hedeflenip hedeflenmediği net değil. ya da değil,” diye yazdı. “Olağandışı görünüyor, ancak aksini söyleyecek kanıtımız yok.”

RAT’ler, saldırganlara virüslü platformlarda gizli bir arka kapı sağlar, böylece uygulamaları yükleyebilir veya kaldırabilir, kişileri, mesajları veya kullanıcı verilerini çalabilir ve cihazları gerçek zamanlı olarak izleyebilirler. AhRat, AhMyth’in açık kaynak kodunu kullanan bu türden ilk Android RAT değil. 2019’da Stefanko, güneydoğu İran’dan gelen Balochi müziği meraklıları için tamamen çalışan bir radyo yayını uygulaması olan Radio Balouch’ta AhMyth uygulanmış bir RAT bulduğunu bildirdi. Bu uygulama, yalnızca 100’den fazla Google Play kullanıcısından oluşan çok daha küçük bir yükleme tabanına sahipti.

En az 2013’ten beri aktif olan üretken bir tehdit grubu, AhMyth’i Hindistan’daki askeri ve hükümet personelini hedef alan Android uygulamalarının arka kapısını açmak için de kullandı. Araştırmacılar tarafından Transparent Tribe, APT36, Mythic Leopard, ProjectM ve Operation C-Major adlarıyla takip edilen tehdit grubunun uygulamayı Google Play üzerinden yaydığına dair hiçbir gösterge yok ve bulaşma vektörü belirsizliğini koruyor.

RELATED ARTICLES

Popüler Konular