Getty Resimleri
Güvenlik firması ESET’ten bir araştırmacı, Google Play’den 50.000’den fazla indirilen bir uygulamanın, her 15 dakikada bir yakındaki sesi gizlice kaydettiğini ve bunu uygulama geliştiricisine gönderdiğini söyledi.
ESET araştırmacısı Lukas Stefanko, iRecorder Screen Recorder adlı uygulamanın, Eylül 2021’de kullanıcıların Android cihazlarının ekranlarını kaydetmelerine olanak tanıyan iyi huylu bir uygulama olarak Google Play’de hayata başladığını söyledi. postalamak Salı günü yayınlandı. On bir ay sonra, yasal uygulama tamamen yeni işlevler eklemek için güncellendi. Cihaz mikrofonunu uzaktan açma ve ses kaydetme, saldırganın kontrolündeki bir sunucuya bağlanma ve cihazda saklanan ses ve diğer hassas dosyaları yükleme özelliklerini içeriyordu.
Her 15 dakikada bir gizli kayıt
Gizli casusluk işlevleri, kod kullanılarak uygulandı. Ah Efsane, son yıllarda diğer birçok Android uygulamasına dahil edilen açık kaynaklı bir RAT (uzaktan erişim Truva Atı). RAT, iRecorder’a eklendikten sonra, daha önce zararsız olan uygulamanın tüm kullanıcıları, telefonlarının yakındaki sesleri kaydetmesine ve şifreli bir kanal aracılığıyla geliştirici tarafından belirlenen bir sunucuya göndermesine izin veren güncellemeler aldı. Zaman geçtikçe, AhMyth’ten alınan kod büyük ölçüde değiştirildi, bu da geliştiricinin açık kaynak RAT ile daha usta hale geldiğinin bir göstergesi. ESET, yeni değiştirilen RAT’ı iRecorder AhRat’ta adlandırdı.
Stefanko, uygulamayı laboratuvarındaki cihazlara defalarca yükledi ve her seferinde sonuç aynı oldu: Uygulamaya, bir dakikalık ses kaydetme ve bunu, halk arasında güvenlik olarak da bilinen, saldırganın komuta ve kontrol sunucusuna gönderme talimatı verildi. C&C veya C2 olarak çevreler. Bundan böyle uygulama, süresiz olarak her 15 dakikada bir aynı talimatı alacaktı. Bir e-postada şunları yazdı:
Analizim sırasında, AhRat aktif olarak veri sızdırma ve mikrofon kaydetme yeteneğine sahipti (birkaç kez uygulamayı kaldırdım ve yeniden yükledim ve uygulama her zaman aynı şekilde davrandı).
Veri hırsızlığı, içindeki komutlara göre etkinleştirilir. [a] döndürülen yapılandırma dosyası [the] C&C. Analizim sırasında, yapılandırma dosyası her zaman ses kaydetme komutunu döndürdü, bu şu anlama gelir: [it] mikrofonu açtı, sesi kaydetti ve C2’ye gönderdi.
Yapılandırma dosyasında alınan komutlara bağlı olduğu için benim durumumda sürekli oldu. Yapılandırma her 15 dakikada bir alındı ve kayıt süresi 1 dakika olarak ayarlandı. Analiz sırasında, cihazım her zaman mikrofon sesini kaydetmek ve C2’ye göndermek için komutlar aldı. 3-4 kez oldu, ardından kötü amaçlı yazılımı durdurdum.
Google sunucularında bulunan uygulamalara bağlanan kötü amaçlı yazılım pek de yeni değil. Google, platformunda kötü amaçlı yazılım keşfedildiğinde, onu bulan dışarıdan araştırmacılara teşekkür etmek ve şirketin kötü amaçlı yazılımı öğrenir öğrenmez kaldırdığını söylemek dışında yorum yapmaz. Şirket, kendi araştırmacılarının ve otomatik tarama sürecinin yabancılar tarafından keşfedilen kötü amaçlı uygulamaları gözden kaçırmasına neyin neden olduğunu hiçbir zaman açıklamadı. Google ayrıca, kendi hizmeti tarafından tanıtılan ve kullanıma sunulan uygulamalardan etkilendiğini öğrendiğinde, Play kullanıcılarına aktif olarak bildirimde bulunma konusunda isteksiz olmuştur.
Bu durumda daha sıra dışı olan şey, bu kadar geniş bir kurban tabanını aktif olarak kaydeden ve seslerini saldırganlara gönderen kötü amaçlı bir uygulamanın keşfedilmesidir. Stefanko, iRecord’un aktif bir casusluk kampanyasının parçası olma ihtimalinin yüksek olduğunu, ancak şu ana kadar durumun böyle olup olmadığını belirleyemediğini söyledi.
“Maalesef, uygulamanın belirli bir insan grubuna aktarıldığına dair herhangi bir kanıtımız yok ve uygulama açıklamasından ve daha fazla araştırmadan (olası uygulama dağıtım vektörü), belirli bir insan grubunun hedeflenip hedeflenmediği net değil. ya da değil,” diye yazdı. “Olağandışı görünüyor, ancak aksini söyleyecek kanıtımız yok.”
RAT’ler, saldırganlara virüslü platformlarda gizli bir arka kapı sağlar, böylece uygulamaları yükleyebilir veya kaldırabilir, kişileri, mesajları veya kullanıcı verilerini çalabilir ve cihazları gerçek zamanlı olarak izleyebilirler. AhRat, AhMyth’in açık kaynak kodunu kullanan bu türden ilk Android RAT değil. 2019 yılında Stefanko bildirilen bulgu Güneydoğu İran’dan gelen Balochi müziği meraklıları için tam olarak çalışan bir radyo yayını uygulaması olan Radio Balouch’ta AhMyth tarafından uygulanan bir RAT. Bu uygulama, yalnızca 100’den fazla Google Play kullanıcısından oluşan çok daha küçük bir yükleme tabanına sahipti.
En az 2013’ten beri aktif olan üretken bir tehdit grubu da AhMyth’i kullanarak Android uygulamalarının arka kapısını çalıyor. hedeflenen askeri ve hükümet personeli Hindistan’da. Araştırmacılar tarafından isimler altında izlenen tehdit grubunun olduğuna dair bir gösterge yok. şeffaf kabileAPT36, Mythic Leopard, ProjectM ve C-Major Operasyonu—uygulamayı Google Play aracılığıyla her zaman yaydı ve bulaşma vektörü belirsizliğini koruyor.
Kaynak : https://arstechnica.com/?p=1941834