bencede
New member
Eset’in BT güvenlik araştırmacıları, 50.000’den fazla yüklemeye sahip trojenleştirilmiş bir uygulamanın izini sürdü. İlk olarak Eylül 2021’de Google Play Store’da kullanımdan kaldırılan iRecorder – Screen Recorder uygulaması, başlangıçta herhangi bir kötü amaçlı işlev içermiyordu. Analizlere göre Ağustos 2022’de işler değişti.
Eset’in raporuna göre, Google Play Store’da başlangıçta meşru olan bir uygulamanın ancak bu kadar uzun süre sonra kötü amaçlı kodla donatılması son derece nadirdir. Uyarlanmış kötü amaçlı işlevler, bir casusluk kampanyasına işaret eden mikrofon kayıtları ve belirli dosya uzantılarına sahip dosyaların çalınmasını içerir. Google o zamandan beri uygulamayı Google Play’den kaldırdı. Ancak yine de diğer uygulama mağazalarında ve .apk indirme arşivlerinde mevcut olabilir.
Android casus yazılımı: ayrıca meşru işlevler
Daha sonraki iRecorder casus yazılımı aslında ana işlevleri sunuyordu. Ağustos 2022’den bu yana programcılar, arşivlenmiş web sitelerini, görüntüleri, ses ve video dosyalarını, belgeleri ve sıkıştırılmış arşiv biçimlerini çıkarmak ve bunları komuta ve kontrol (C&C) sunucusuna yüklemek için kötü amaçlı işlevler ekledi. Zip, rar, jpg, jpeg, jpe, jif, jfif, jfi, png, mp3, mp4, mkv, 3gp, m4v, mov, avi, gif, webp, tiff, tif, heif, heic, bmp, dib dahil olmak üzere dosya türleri , svg, ai, eps, pdf, doc, docx, html, htm, odt, pdf, xls, xlsx, ods, ppt, pptx ve txt. Ancak Eset, kötü amaçlı yazılımın arkasında hangi siber suç örgütünün olduğunu belirleyemedi.
Uygulamanın adı iRecorder – Screen Recorder ve geliştirici Coffeeholic Dev’den geliyor. Play Store girişine göre Mart ayında 50.000’den fazla indirildi. İncelemeler çok olumluydu, uygulama 4,2 yıldız aldı.
Uyarlanan kötü amaçlı işlevler, AhMyth açık kaynaklı uzaktan erişim araç setinden (RAT) geldi. iRecorder’ın kasıtlı olarak değiştirilmiş ilk sürümleri, değişmemiş AhMyth kodunu içeriyordu. Bununla birlikte, programcılar daha sonra kodu, özellikle C&C iletişimi ve arka kapı için olanı değiştirdiler. BT araştırmacılarına göre, bu kod henüz başka hiçbir Android uygulamasında görünmedi.
Göze çarpmayan haklar
Programcılar, zaten talep edilen uygulama haklarına karşılık gelen AhMyth RAT’tan yalnızca birkaç işlev aldı. Bir ekran kayıt uygulaması, ses kaydetme haklarının yanı sıra cihazınızdaki fotoğraflara, medyaya ve dosyalara erişim gerektirir. Örneğin, konuşmaları mikrofonla kaydetmek, beklenmedik yeni erişim hakları gerektirmez.
Kötü amaçlı kod, yeni bir yapılandırma dosyası indirmek için her 15 dakikada bir C&C sunucusuyla iletişim kurdu. Hangi verilerin yüklenmesi gerektiği, hangi dosya türlerinin sıkıştırılmasının açılması gerektiği, dosya boyutu sınırları, mikrofon kayıtları için kayıt süreleri veya kayıtlar arasındaki aralıklar gibi komutları ve yapılandırma bilgilerini içerir. Kötü amaçlı yazılım analistleri, yapılandırma dosyalarında kötü amaçlı yazılıma programlanandan daha fazla komut buldu.
Uygulama, Google Play Store dışındaki kaynaklarda bulunabileceğinden, bu kaynakların kullanıcıları kötü amaçlı yazılımı yükleyip yüklemediklerini kontrol etmeli ve yüklemişlerse kaldırmalıdır. Paketler com.tsoft.app.iscreenrecorder olarak adlandırılır.
Rus siber güvenlik firması Kaspersky, kısa bir süre önce Google Play Store’da 600.000’den fazla kurulumu olan Android kötü amaçlı yazılımı keşfetti. Kötü amaçlı bir özellik olarak, ücretli aboneliklere gizlice abone olmuştu.
güncellemeler
05/26/2023
12:16
Saat
İkinci paragraftaki yanlış ifadenin düzeltilmesi.
(dmk)
Haberin Sonu
Eset’in raporuna göre, Google Play Store’da başlangıçta meşru olan bir uygulamanın ancak bu kadar uzun süre sonra kötü amaçlı kodla donatılması son derece nadirdir. Uyarlanmış kötü amaçlı işlevler, bir casusluk kampanyasına işaret eden mikrofon kayıtları ve belirli dosya uzantılarına sahip dosyaların çalınmasını içerir. Google o zamandan beri uygulamayı Google Play’den kaldırdı. Ancak yine de diğer uygulama mağazalarında ve .apk indirme arşivlerinde mevcut olabilir.
Android casus yazılımı: ayrıca meşru işlevler
Daha sonraki iRecorder casus yazılımı aslında ana işlevleri sunuyordu. Ağustos 2022’den bu yana programcılar, arşivlenmiş web sitelerini, görüntüleri, ses ve video dosyalarını, belgeleri ve sıkıştırılmış arşiv biçimlerini çıkarmak ve bunları komuta ve kontrol (C&C) sunucusuna yüklemek için kötü amaçlı işlevler ekledi. Zip, rar, jpg, jpeg, jpe, jif, jfif, jfi, png, mp3, mp4, mkv, 3gp, m4v, mov, avi, gif, webp, tiff, tif, heif, heic, bmp, dib dahil olmak üzere dosya türleri , svg, ai, eps, pdf, doc, docx, html, htm, odt, pdf, xls, xlsx, ods, ppt, pptx ve txt. Ancak Eset, kötü amaçlı yazılımın arkasında hangi siber suç örgütünün olduğunu belirleyemedi.
Uygulamanın adı iRecorder – Screen Recorder ve geliştirici Coffeeholic Dev’den geliyor. Play Store girişine göre Mart ayında 50.000’den fazla indirildi. İncelemeler çok olumluydu, uygulama 4,2 yıldız aldı.
Uyarlanan kötü amaçlı işlevler, AhMyth açık kaynaklı uzaktan erişim araç setinden (RAT) geldi. iRecorder’ın kasıtlı olarak değiştirilmiş ilk sürümleri, değişmemiş AhMyth kodunu içeriyordu. Bununla birlikte, programcılar daha sonra kodu, özellikle C&C iletişimi ve arka kapı için olanı değiştirdiler. BT araştırmacılarına göre, bu kod henüz başka hiçbir Android uygulamasında görünmedi.
Göze çarpmayan haklar
Programcılar, zaten talep edilen uygulama haklarına karşılık gelen AhMyth RAT’tan yalnızca birkaç işlev aldı. Bir ekran kayıt uygulaması, ses kaydetme haklarının yanı sıra cihazınızdaki fotoğraflara, medyaya ve dosyalara erişim gerektirir. Örneğin, konuşmaları mikrofonla kaydetmek, beklenmedik yeni erişim hakları gerektirmez.
Kötü amaçlı kod, yeni bir yapılandırma dosyası indirmek için her 15 dakikada bir C&C sunucusuyla iletişim kurdu. Hangi verilerin yüklenmesi gerektiği, hangi dosya türlerinin sıkıştırılmasının açılması gerektiği, dosya boyutu sınırları, mikrofon kayıtları için kayıt süreleri veya kayıtlar arasındaki aralıklar gibi komutları ve yapılandırma bilgilerini içerir. Kötü amaçlı yazılım analistleri, yapılandırma dosyalarında kötü amaçlı yazılıma programlanandan daha fazla komut buldu.
Uygulama, Google Play Store dışındaki kaynaklarda bulunabileceğinden, bu kaynakların kullanıcıları kötü amaçlı yazılımı yükleyip yüklemediklerini kontrol etmeli ve yüklemişlerse kaldırmalıdır. Paketler com.tsoft.app.iscreenrecorder olarak adlandırılır.
Rus siber güvenlik firması Kaspersky, kısa bir süre önce Google Play Store’da 600.000’den fazla kurulumu olan Android kötü amaçlı yazılımı keşfetti. Kötü amaçlı bir özellik olarak, ücretli aboneliklere gizlice abone olmuştu.
güncellemeler
05/26/2023
12:16
Saat
İkinci paragraftaki yanlış ifadenin düzeltilmesi.
(dmk)
Haberin Sonu