"dogruxeber.tv" bildirir ki, ESET-dən təhlükəsizlik tədqiqatçısının dediyinə görə, Google Play-dən 50.000-dən çox endirilən proqramın hər 15 dəqiqədən bir gizli şəkildə yaxınlıqdakı səsi yazaraq proqram tərtibatçısına ötürdüyü aşkar edilib. iRecorder Screen Recorder adlı proqram ilk olaraq 2021-ci ilin sentyabrında istifadəçilərə Android cihazlarının ekranlarını yazmağa imkan verən zərərsiz proqram kimi Google Play-ə daxil oldu. Bununla belə, on bir ay sonra o, cihazın mikrofonunun uzaqdan aktivləşdirilməsinə, səs yazısına, təcavüzkarlar tərəfindən idarə olunan serverə qoşulmağa və cihazda saxlanılan həssas faylların yüklənməsinə imkan verən yeni funksiyalar təqdim edərək yeniləməyə məruz qalıb.

Tətbiqin gizli nəzarət imkanları əvvəllər müxtəlif Android proqramlarına daxil edilmiş açıq mənbəli uzaqdan giriş troyanı (RAT) olan AhMyth-dən əldə edilən koddan istifadə etməklə həyata keçirilib. RAT-ın iRecorder-ə əlavə edilməsindən sonra, əvvəllər xeyirxah tətbiqetmənin bütün istifadəçiləri telefonlarına ətraflarından səs yazmağa və şifrələnmiş kanaldan istifadə edərək onu tərtibatçı tərəfindən təyin edilmiş serverə ötürməyə imkan verən yeniləmələr aldılar. Vaxt keçdikcə AhMyth kodu geniş şəkildə dəyişdirildi və bu, tərtibatçının açıq mənbə RAT ilə artan səriştəsini göstərir. ESET iRecorder-də yeni dəyişdirilmiş RAT-ı AhRat kimi müəyyən etdi.

Tətbiqin davranışını araşdırmaq üçün ESET tədqiqatçısı Lukas Stefanko öz laboratoriyasındakı cihazlarda dəfələrlə iRecorder quraşdırıb və ardıcıl olaraq eyni nəticəni əldə edib. Tətbiq bir dəqiqəlik audio yazmaq və onu təcavüzkarın C&C və ya C2 kimi tanınan komanda və idarəetmə serverinə göndərmək üçün təlimatlar alacaq. Sonradan, proqram qeyri-müəyyən olaraq hər 15 dəqiqədən bir eyni təlimatı alacaqdı.

Google serverlərində mövcud olan tətbiqlərə daxil edilmiş zərərli proqram hadisələri nadir deyil. Platformasında zərərli proqram aşkar edildikdə, Google adətən kənar tədqiqatçılara təşəkkür etmək və şirkətin bu cür zərərli proqram təminatını dərhal aradan qaldırdığını bildirməkdən başqa şərh verməkdən çəkinir. Bununla belə, Google heç vaxt öz tədqiqatçılarının və avtomatlaşdırılmış skan proseslərinin niyə xarici mənbələr tərəfindən müəyyən edilmiş zərərli proqramları aşkarlaya bilmədiyinə aydınlıq gətirməyib. Bundan əlavə, Google Play istifadəçilərinin öz xidməti vasitəsilə təbliğ edilən və əlçatan edilən proqramlar tərəfindən yoluxduqlarını bildikdən sonra onları aktiv şəkildə xəbərdar etməkdə tərəddüd edir.

Bu işi fərqləndirən, çoxlu sayda qurbanların səsini aktiv şəkildə yazan və onu təcavüzkarlara göndərən zərərli proqramın aşkar edilməsidir. Stefanko, iRecorder-ın davam edən casusluq kampaniyasının bir hissəsi ola biləcəyini təklif etdi, baxmayaraq ki, bu iddianı dəstəkləmək üçün qəti dəlil hələ tapılmamışdır. O qeyd etdi: "Təəssüf ki, tətbiqin müəyyən bir qrup insana ötürülməsinə dair heç bir sübutumuz yoxdur və tətbiqin təsviri və əlavə araşdırmadan (mümkün proqram paylama vektoru) müəyyən bir qrup insanlar hədəfə alınıb, ya yox. Çox qeyri-adi görünür, amma əksini söyləmək üçün əlimizdə dəlil yoxdur”.

RAT-lar təcavüzkarlara yoluxmuş platformalarda gizli arxa qapı verir ki, bu da onlara real vaxt rejimində proqramları, oğurluq kontaktlarını, mesajları, istifadəçi məlumatlarını quraşdırmaq və ya silmək imkanı verir. AhRat, AhMyth-dən açıq mənbə kodunu özündə birləşdirən ilk Android RAT deyil. 2019-cu ildə Stefanko, İranın cənub-şərqindən olan Bəluçi musiqi həvəskarlarına xidmət edən tam funksional axın radio proqramı olan Radio Balouch-da AhMyth əsaslı RAT kəşf etdiyini bildirdi. iRecorder-dən fərqli olaraq, Radio Balouch-un 100-dən çox Google Play istifadəçisi olan xeyli kiçik istifadəçi bazası var idi.

Üstəlik, ən azı 2013-cü ildən fəaliyyət göstərən məhsuldar bir təhlükə qrupu Hindistanda hərbi və hökumət işçilərini hədəf alan Android proqramlarını arxa planda saxlamaq üçün AhMyth-dən istifadə etdi. Transparent Tribe, APT36, Mythic Leopard, ProjectM və Operation C-Major kimi müxtəlif adlarla tanınan bu təhlükə qrupunun Google Play vasitəsilə proqramı yaydığına dair heç bir əlamət yoxdur və dəqiq infeksiya vektoru qeyri-müəyyən olaraq qalır.

dogruxeber.tv
Asiman Əsədsoy