Android uygulamasında işler kötüleşiyor: Önce yasal ekran kaydı, bir yıl sonra dosya sızdırma

ESET araştırmacıları, dosya sızdırıp ses kaydı yapan AhMyth tabanlı yeni bir Android RAT olan AhRat’ı keşfetti

ESET araştırmacıları, Google Play mağazasında 50 binin üzerinde cihaza indirilen truva atı bulaşmış bir Android uygulaması keşfetti: iRecorder. Ekran Kaydedici adlı bu uygulama, 19 Eylül 2021 tarihinde, herhangi bir kötü amaçlı işlevi olmadan mağazaya yüklendi. Ancak kötü amaçlı işlevlerin, büyük olasılıkla Ağustos 2022’de kullanıma sunulan 1.3.8 sürümünde eklendiği görülüyor. 

Bir uygulama geliştiricisinin yasal bir uygulama geliştirdikten neredeyse bir sene sonra kötü amaçlı bir kodla güncelleme yapması az karşılaşılan bir durumdur. iRecorder’ın temiz sürümüne eklenen kötü amaçlı kod, açık kaynaklı AhMyth Android RAT (uzaktan erişim truva atı) temellidir ve tarafımızdan AhRat olarak adlandırılmıştır. 

Bu tek vakaydı ve başka bir AhRat tespit etmedik. Ancak bu, AhMyth tabanlı kötü amaçlı Android yazılımının Google Play’e ilk çıkışı değil; daha önce 2019’da da böyle bir truva atına bulaşmış uygulama hakkında araştırma yayımnlamıştık. O zamanlar, AhMyth’in temelleri üzerine inşa edilen casus yazılım, radyo yayını yapan kötü amaçlı  bir uygulama olarak Google’ın uygulama inceleme sürecini iki kez atlattı. 

Uygulamaya genel bakış 

Kötücül iRecorder, yasal ekran kaydı işlevinin yanı sıra, cihazın mikrofonundan çevredeki sesi kaydedebilir ve bunu saldırganın komuta ve kontrol (C&C) sunucusuna yükleyebilir. Ayrıca, kaydedilmiş İnternet sayfalarını, görüntüleri, ses, video ve belge dosyalarını ve birden çok dosyayı sıkıştırmak için kullanılan dosya biçimlerini gösteren uzantılarla dosyalardan dışarı sızabilir. Uygulamanın mikrofon kayıtlarını ayıklayan ve belli uzantıları olan dosyaları çalmaya yönelik kötü amaçlı işlevleri, onun potansiyel bir casusluk kampanyasına karıştığını gösterir. Ancak  uygulamanın herhangi bir kötü amaçlı grupla bağlantısı olduğunu tespit etmedik. 

Google App Defense Alliance’ın bir bileşeni olan ESET, uygulamanın en son sürümünü kötü amaçlı uygulama olarak belirledi ve bulgularını hemen Google ile paylaştı. Yaptığımız uyarılar sonrasında uygulama mağazadan kaldırıldı. 

Dağıtım 

iRecorder uygulaması ilk olarak 19 Eylül 2021’de Google Play mağazasında yayımlandı ve ekran kaydetme işlevi taşıyan bu uygulamanın hiçbir kötü amaçlı özelliği yoktu. Ancak, Ağustos 2022’de, uygulama geliştiricisinin 1.3.8 sürümüne kötü amaçlı işlevler eklediğini tespit ettik. Şekil 1‘de gösterildiği gibi, Mart 2023 tarihine kadar uygulama 50 binin üzerinde cihaza kurulmuştu.  

Ancak iRecorder’ın daha önceki, yani temiz sürümlerini (sürüm 1.3.8 öncesi) indiren Android kullanıcıları uygulamayı manuüel ya da otomatik olarak güncellediklerinde ek bir uygulama onayı vermeseler bile, cihazları AhRat’a maruz kalabilir.  

iRecorder’ın kötü amaçlı işlevleri hakkında bildirim vermemizden sonra, Google Play güvenlik ekibi uygulamayı mağazadan kaldırdı. Ancak, uygulamanın alternatif ve resmi olmayan Android mağazalarında da bulunabileceğini unutmamak gerekir. iRecorder geliştiricisinin, Google Play’de başka uygulamaları da var, ancak bunlar kötü amaçlı kod içermiyor. 

İlişki 

Açık kaynaklı AhMyth daha önce, Güney Asya’daki hükumet ve askeri kuruluşları hedef alan ve sosyal mühendislik tekniklerini yaygın olarak kullanmasıyla tanınan bir siber casusluk grubu olan, APT36 olarak da bilinen Transparent Tribe tarafından kullanılıyordu. Bununla birlikte, mevcut örnekleri belirli bir grupla ilişkilendiremiyoruz ve bunların bilinen bir gelişmiş kalıcı tehdit (APT) grubu tarafından üretildiğine dair hiçbir belirti bulunmuyor.  

Analiz 

Analizimiz sırasında, AhMyth RAT tabanlı iki kötü amaçlı kod sürümü belirledik. iRecorder’ın ilk kötü amaçlı sürümü, AhMyth RAT’ın herhangi bir değişiklik yapmadan kopyalanan kötü amaçlı kodunun parçalarını içeriyordu. AhRat adını verdiğimiz ikinci kötü amaçlı sürüm de Google Play’de vardı ve Komuta ve Kontrol sunucuları ile arka kapı arasındaki kod ve iletişim dahil olmak üzere AhMyth’si uyarlanmıştı. Bu yayının yapıldığı tarihte, AhRat’ı başka herhangi bir Google Play uygulamasında veya başka bir yerde gözlemlemedik, iRecorder bu özelleştirilmiş kodu içeren tek uygulamaydı. 

AhMyth RAT, arama kayıtlarını, kişileri ve metin mesajlarını dışarı sızdırma, cihazdaki dosyaların bir listesini alma, cihazın konumunu izleme, SMS mesajları gönderme, ses kaydetme ve fotoğraf çekme gibi çeşitli kötü amaçlı işlevleri olan güçlü bir araçtır. Ancak, burada analiz edilen her iki sürümde de orijinal AhMyth RAT’tan türetilen sınırlı sayıda kötü amaçlı özellik olduğunu gözlemledik. Bu işlevlerin, cihazdaki dosyalara erişim sağlayan ve ses kaydına izin veren önceden tanımlanmış uygulama izinleri modeline uyduğunu gördük. Özellikle, kötü amaçlı uygulamanın video kaydetme işlevi olduğu için, Şekil 2‘de gösterildiği gibi ses kaydetmek ve cihazda depolamak için izin istemesi bekleniyordu. Kötü amaçlı uygulama yüklendikten sonra, gizli amacını ortaya çıkaracak herhangi bir özel izin istemeden standart bir uygulama gibi davranıyordu. 

Kurulumdan sonra AhRat, Şekil 3‘te görüldüğü gibi temel cihaz bilgilerini göndererek ve şifreleme anahtarlarını ve şifrelenmiş bir yapılandırma dosyasını alarak Komuta ve Kontrol sunucusuyla iletişim kurmaya başlar. Bu anahtarlar, yapılandırma dosyasını ve cihazdaki dosyaların listesi gibi dışarı sızan verilerin bir kısmını şifrelemek ve şifresini çözmek için kullanılır. 

İlk iletişimden sonra AhRat, Komuta ve Kontrol sunucusuna her 15 dakikada bir ping atarak yeni bir yapılandırma dosyası ister. Bu dosya, kullanıcı verilerinin sızdırılacağı dosya sistemi konumu, sızdırılacak belirli uzantılara sahip dosya türleri, bir dosya boyutu sınırı, mikrofon kayıtlarının süresi (Komuta ve Kontrol sunucusu tarafından ayarlandığı şekilde; analiz sırasında 60 saniyeye ayarlanmıştır) ve kayıtlar arasında beklenecek zaman aralığı – 15 dakika – (bu aynı zamanda Komuta ve Kontrol sunucusundan yeni yapılandırma dosyası alındığında da geçerlidir) dahil olmak üzere hedef cihazda çalıştırılacak ve ayarlanacak bir dizi komut ve yapılandırma bilgisi içerir. 

İlginç bir şekilde, şifresi çözülmüş yapılandırma dosyası, bazı kötü amaçlı işlevler uygulanmadığı için AhRat’ın çalıştırabileceğinden daha fazla komut içermektedir. Bu, AhRat’ın yalnızca AhMyth RAT’tan gelen değiştirilmemiş kötü amaçlı kod içeren ilk sürüme benzer hafif bir sürüm olduğunu gösterebilir. Buna rağmen, AhRat hala cihazdan dosya sızdırma ve cihazın mikrofonunu kullanarak ses kaydetme yeteneğine sahiptir. 

Komuta ve Kontrol sunucusundan konfigürasyonda alınan komutlara göre, AhRat 18 komutu çalıştırabilmektedir. Bununla birlikte, RAT aşağıdaki listede kalın harflerle ve yıldız işaretiyle belirtilen yalnızca altı komutu yürütebilir: 

• RECORD_MIC* 
• CAPTURE_SCREEN
• LOCATION 
• CALL_LOG 
• KEYLOG 
• NOTIFICATION 
• SMS 
• OTT 
• WIFI 
• APP_LIST 
• PERMISSION 
• CONTACT
• FILE_LIST* 
• UPLOAD_FILE_AFTER_DATE* 
• LIMIT_UPLOAD_FILE_SIZE* 
• UPLOAD_FILE_TYPE* 
• UPLOAD_FILE_FOLDER*
• SCHEDULE_INTERVAL

Bu komutların çoğunun uygulanması, uygulamanın koduna dahil değildir, ancak adlarının çoğu, Şekil 4’te de gösterildiği gibi, kendi kendini açıklamaktadır.  

Analizimiz sırasında AhRat, internet sayfalarını, görüntüleri, ses, video ve belge dosyalarını ve birden çok dosyayı sıkıştırmak için kullanılan dosya biçimlerini gösteren uzantılarla aygıt dosyalarından dışarı veri sızdırmak için komutlar aldı. Dosya uzantıları şunlardır: zip, rar, jpg, jpeg, jpe, jif, jfif, jfi, png, mp3, mp4, mkv, 3gp, m4v, mov, avi, gif, webp, tiff, tif, heif, heic, bmp, dib, svg, ai, eps, pdf, doc, docx, html, htm, odt, pdf, xls, xlsx, ods, ppt, pptx, ve txt. 

Bu dosyaların boyutu 20 MB ile sınırlandırılmıştı ve İndirilenler dizininde bulunuyordu /storage/emulated/0/Download..  

Bulunan dosyalar, Şekil 5‘te görüldüğü gibi Komuta ve Kontrol sunucusuna yükleniyordu. 

Sonuç 

“AhRat araştırması, başlangıçta yasal olan bir uygulamanın nasıl zaman içinde kötü amaçlı bir yazılıma dönüşerek kullanıcıları gizlice izleyip, güvenlik ihlaline yol açtığının güzel bir örneğidir. Uygulama geliştiricisinin, Android cihazlarını bir güncelleme yoluyla tehlikeye atmadan önce bir kullanıcı tabanı oluşturmayı amaçlaması veya uygulamada bu değişikliği kötü amaçlı bir aktörün yapmış olması mümkün olsa da; şimdiye kadar, bu hipotezlerin hiçbiri için elimizde kanıt yok.  

Neyse ki, bu şekilde kötü amaçlı eylemler için alınan önleyici tedbirler, Android 11 ve daha yüksek sürümlerde uygulama bekleme modundayken zaten uygulanmaktadır. Bu özellik, birkaç aydır uykuda olan uygulamaları etkin bir şekilde hazırda bekletme durumuna geçirir, böylece çalışma zamanı izinlerini sıfırlar ve kötü amaçlı uygulamaların amaçlandığı gibi çalışmasını engeller. Bizim yaptığımız uyarı sonrasında kötü amaçlı uygulama Google Play’den çıkarıldı, bu da ESET Mobile Security gibi birçok katmanda koruma sağlanması ihtiyacının, cihazları potansiyel güvenlik ihlallerine karşı korumanın temeli olduğunu kanıtlıyor. 

Uzaktan kontrol edilen AhRat, açık kaynaklı AhMyth RAT’ın uyarlanmış bir versiyonudur. Bu, kötü amaçlı uygulamanın yazarlarının, hem uygulama hem de arka uç kodunu anlamak için büyük çaba harcadıkları ve nihayetinde kendi ihtiyaçlarına göre uyarladıkları anlamına gelir.  

AhRat’ın, cihazın mikrofonunu kullanarak ses kaydetmek ve belirli uzantılara sahip dosyaları çalmak gibi kötü amaçlı işlevi, bunun bir casusluk kampanyasının parçası olduğunu gösterebilir. Ancak, bu işlemin belli bir kampanya ya da APT grubu ile ilişkili olup olmadığı konusunda henüz somut bir kanıt bulamadık.   

IoC’ler 

Dosyalar 

Ağ 

MITRE ATT&CK Teknikleri 

Bu tablo, MITRE ATT&CK çerçevesinin 12. sürümü kullanılarak oluşturulmuştur.