Popüler bir Android uygulaması, Google Play’de onaylandıktan aylar sonra kullanıcılarını gizlice gözetlemeye başladı.

Bir siber güvenlik firması, Google’ın uygulama mağazasında on binlerce kez indirilen popüler bir Android ekran kayıt uygulamasının daha sonra, kullanıcının telefonundan mikrofon kayıtları ve diğer belgeleri çalmak da dahil olmak üzere kullanıcılarını gözetlemeye başladığını söyledi.

ESET tarafından yapılan araştırma, “iRecorder — Screen Recorder” adlı Android uygulamasının, kötü amaçlı kodu Google Play’de ilk kez listelendikten neredeyse bir yıl sonra bir uygulama güncellemesi olarak kullanıma sunduğunu ortaya çıkardı. ESET’e göre kod, uygulamanın her 15 dakikada bir cihazın mikrofonundan bir dakikalık ortam sesini gizlice yüklemesine ve ayrıca kullanıcının telefonundan belgelere, web sayfalarına ve medya dosyalarına sızmasına izin verdi.

uygulama artık listelenmiyor Google Play’de. Uygulamayı yüklediyseniz, cihazınızdan silmelisiniz. Kötü amaçlı uygulama, uygulama mağazasından çekildiğinde, 50.000’den fazla indirme sayısına ulaşmıştı.

ESET, AhMyth adlı açık kaynaklı bir uzaktan erişim truva atının özelleştirilmiş bir sürümü olan kötü amaçlı AhRat kodunu çağırıyor. Uzaktan erişim truva atları (veya RAT’ler), bir kurbanın cihazına geniş erişim avantajından yararlanır ve genellikle uzaktan kumanda içerebilir, ancak aynı zamanda şuna benzer şekilde işlev görür: casus yazılım Ve takip yazılımı.

2022’de İnternet Arşivinde önbelleğe alındığı şekliyle Google Play’de listelenen iRecorder’ın ekran görüntüsü. Görsel Kaynakları: TechCrunch (ekran görüntüsü)

Kötü amaçlı yazılımı keşfeden ESET güvenlik araştırmacısı Lukas Stefanko, bir blog gönderisinde söyledi iRecorder uygulamasının Eylül 2021’de ilk kullanıma sunulduğunda hiçbir kötü amaçlı özellik içermediğini.

Kötü amaçlı AhRat kodu, mevcut kullanıcılara (ve uygulamayı doğrudan Google Play’den indirecek yeni kullanıcılara) bir uygulama güncellemesi olarak gönderildiğinde, uygulama gizlice kullanıcının mikrofonuna erişmeye ve kullanıcının telefon verilerini kötü amaçlı yazılım tarafından kontrol edilen bir sunucuya yüklemeye başladı. Şebeke. Stefanko, uygulamanın doğası gereği cihazın ekran kayıtlarını yakalamak için tasarlandığından ve cihazın mikrofonuna erişim izni verilmesini isteyeceğinden, ses kaydının “zaten tanımlanmış uygulama izinleri modeline uyduğunu” söyledi.

Kötü amaçlı kodu kimin – geliştirici mi yoksa başka biri tarafından mı – veya hangi nedenle yerleştirdiği net değil. TechCrunch, uygulama kaldırılmadan önce listede yer alan geliştiricinin e-posta adresine e-posta gönderdi, ancak henüz yanıt gelmedi.

Stefanko, kötü amaçlı kodun muhtemelen daha geniş bir casusluk kampanyasının parçası olduğunu söyledi – bilgisayar korsanları bazen hükümetler adına veya mali nedenlerle seçtikleri hedefler hakkında bilgi toplamak için çalışıyorlar. “Bir geliştiricinin meşru bir uygulama yükleyip neredeyse bir yıl bekledikten sonra onu kötü amaçlı kodla güncellemesinin nadir olduğunu” söyledi.

Onun kötü uygulamalar için alışılmadık bir durum değil AhMyth’in uygulama mağazalarına girdiği ilk sefer de değil. yoluna girdi Google Play’e Hem Google hem de Apple, uygulamaları indirilmek üzere listelemeden önce kötü amaçlı yazılımlara karşı tarar ve bazen proaktif olarak hareket eder. uygulamaları çekin kullanıcıları riske atabilecekleri zaman. Google, geçen yıl söz konusu gizliliği ihlal eden 1,4 milyondan fazla uygulamanın Google Play’e ulaşmasını engelledi.