Google Play Store’da listelenmiş bir uygulama, piyasaya sürüldükten yaklaşık bir sene sonra kullanıcıları dinlemeye başladı.
Google Play Strore’da bir uygulamanın belli aralıklarla gizlice ses kaydettiği ve bunu şifreli bir şekilde serverlarda arşivlediği tespit edildi. Kötü amaçlı uygulama, piyasaya ilk sürüldüğünde gayet masum gözüküyordu. Fakat uygulama piyasaya sürüldükten bir süre sonra gizli kayıt almaya başladı.
Siber güvenlik firması ESET’in raporuna göre “iRecorder Screen Recorder” isimli ekran kaydı uygulaması, Android kullanıcılarının ekranlarını kaydetmelerine yarayan iyi huylu bir uygulamaydı. Eylül 2021’de mağazaya yüklenen uygulamayı 50 binden fazla kişi indirdi ve uygulama Google Play Store’un filtrelerinden geçerek ‘güvenli’ uygulamalar olarak listelendi.
YAKLAŞIK BİR YIL SONRA AMACI DEĞİŞTİ
Uygulama mağazaya yüklendikten 11 ay sonra gizli çekimler yapmaya başladı. Gayet masum bir şekilde hizmet veren uygulama bu sürede on binlerce kişi tarafından indirildi ve telefon içerisindeki mikrofon, ekran kaydı, dosyalara erişim gibi birçok izni aldı.
Uygulamanın geliştiricileri bu bir yıllık sürenin sonunda ekran kaydetme uygulamasına gizli casusluk amacıyla kullanılan ve son yıllarda Android telefonlarda oldukça yaygınlaşan RAT (uzaktan erişimli Truva Atı) olarak sınıflanan AhMyth’in kodunu işledi.
HER 15 DAKİKADA BİR GİZLİ KAYIT
RAT eklenmiş iRecorder, gizli bir casusluk uygulamasına dönüştü ve tüm kullanıcılarının ses kaydını toparlamaya başladı. ESET’in raporuna göre iRecorder uygulaması her 15 dakikada 1 dakika gizli kayıt yaptı. Yaptığı bu kayıtları özel şifreleme teknikleri ile dosyalaştırdı ve kendi serverinde toparladı.
