{"id":4848,"date":"2023-05-29T17:51:50","date_gmt":"2023-05-29T15:51:50","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=4848"},"modified":"2023-05-29T17:51:50","modified_gmt":"2023-05-29T15:51:50","slug":"ahrat-zlonamjerni-softver-skriven-android-aplikaciji","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/05\/29\/ahrat-zlonamjerni-softver-skriven-android-aplikaciji\/","title":{"rendered":"AhRat zlonamjerni softver skriven Android aplikaciji"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><em>AhRat<\/em> <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni softver<\/a> skriven <em>Android<\/em> aplikaciji otkriva istra\u017eivanje <a href=\"https:\/\/www.welivesecurity.com\/2023\/05\/23\/android-app-breaking-bad-legitimate-screen-recording-file-exfiltration\/\" target=\"_blank\" rel=\"noopener\">sigurnosnih istra\u017eiva\u010da kompanije <em>ESET<\/em><\/a>.<\/span><\/p>\n<div id=\"attachment_4854\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-4854\" class=\"size-full wp-image-4854\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/05\/AhRat.jpg\" alt=\"AhRat\" width=\"1024\" height=\"674\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/05\/AhRat.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/05\/AhRat-300x197.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/05\/AhRat-768x506.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/05\/AhRat-18x12.jpg 18w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-4854\" class=\"wp-caption-text\"><em>AhRat zlonamjerni softver skriven Android aplikaciji; Redizajn: Sa\u0161a \u0110uri\u0107<\/em><\/p><\/div>\n<h2><span style=\"font-size: 14pt;\"><strong>Zlonamjerna aplikacija<\/strong><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Da izgled mo\u017ee da zavara, to je ve\u0107 poznato, kao i da se sve mijenja. Ovo otprilike opisuje <em>iRecorder \u2013 Screen Recorder<\/em> aplikaciju koja se pojavila u septembru 2021. godine kao aplikacija za snimanje ekrana na <em>Android<\/em> ure\u0111ajima sa 50.000 preuzimanja.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">U tom trenutku, aplikacija je bila potpuno legitimna. Me\u0111utim negdje usput aplikaciji je pridru\u017een trojanac sa daljinskim pristupom (eng. <em>remote access Trojan \u2013 RAT<\/em>) zasnovan na <em>AhMyth<\/em> administratorski alat otvorenog k\u00f4da za pristup informacijama na <em>Android<\/em> ure\u0111ajima. Zlonamjeran dio k\u00f4da je vjerovatno dodat aplikaciji u verziji <em>1.3.8<\/em> dostupnoj od avgusta 2022. godine.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di iz kompanije <em>ESET<\/em> su 23. maja 2023. godine prona\u0161li zlonamjerni softver u <em>iRecorder \u2013 Screen Recorder<\/em> aplikaciji koji su nazvali <em>AhRat<\/em>, koji mo\u017ee preuzeti odre\u0111ene dokumente i snimke sa mikrofona i poslati ih komandnom serveru pod kontrolom napada\u010da.<\/span><\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>\u201cNakon na\u0161eg obavje\u0161tenja u vezi sa iRecorder zlonamjernim pona\u0161anjem, tim za bezbjednost Google Play ga je uklonio iz prodavnice. Me\u0111utim, va\u017eno je napomenuti da se aplikacija mo\u017ee na\u0107i i na alternativnim i nezvani\u010dnim Android prodavnicama. Programer iRecorder-a tako\u0111e nudi druge aplikacije na Google Play-u, ali one ne sadr\u017ee zlonamjerni k\u00f4d.\u201d<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>\u00a0<\/em><\/span><span style=\"font-size: 14pt;\"><em>&#8211; <\/em><a href=\"https:\/\/www.welivesecurity.com\/2023\/05\/23\/android-app-breaking-bad-legitimate-screen-recording-file-exfiltration\/\" target=\"_blank\" rel=\"noopener\"><em>Sigurnosni istra\u017eiva\u010d Lukas Stefanko, ESET<\/em><\/a><em> &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\"><em>AhMyth<\/em> je kori\u0161ten od strane grupe <em>Transparent<\/em> <em>Tribe<\/em>, tako\u0111e poznate pod nazivom <em>APT36<\/em>, grupe za sajber \u0161pijuna\u017eu poznata po svojoj ekstenzivnoj upotrebi tehnika dru\u0161tvenog in\u017eenjeringa i ciljanju vladinih i vojnih organizacija u Ju\u017enoj Aziji. Ipak, sada nema \u010dvrstih dokaza koji bi mogli ovaj slu\u010daj pripisati odre\u0111enom napada\u010du ili nekoj poznatoj grupi za <a href=\"https:\/\/sajberinfo.com\/en\/2020\/12\/08\/apt-sponzorisani-napadi\/\" target=\"_blank\" rel=\"nofollow noopener\">naprednu trajnu prijetnju<\/a> (eng. <em>Advanced persistent threat \u2013 APT)<\/em>.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span style=\"font-size: 14pt;\"><strong>Zaklju\u010dak<\/strong><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Ovaj primjer samo pokazuje da napada\u010di usvajaju tehniku koja se zove verzionisanje, \u0161to se odnosi na otpremanje \u010diste verzije aplikacije u <em>Play<\/em> prodavnicu kako bi se izgradilo povjerenje me\u0111u korisnicima, a zatim dodavanje zlonamjernog k\u00f4da u kasnijoj fazi putem a\u017euriranja aplikacije, sa ciljem da se pro\u0111e kroz proces odobravanja aplikacije.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Tu je i problem <em>Google Play<\/em> prodavnice koja je prethodno uklonila <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/17\/zlonamjerni-softver-u-60-google-play-aplikacija-sa-100-miliona-instalacija\/\" target=\"_blank\" rel=\"nofollow noopener\">60 aplikacija<\/a>, pa kasnije jo\u0161 <a href=\"https:\/\/sajberinfo.com\/en\/2023\/05\/09\/jos-38-android-zlonamjernih-aplikacija\/\" target=\"_blank\" rel=\"nofollow noopener\">38 aplikacija<\/a> sa zlonamjernim softverom. \u010cini se da napada\u010di stalno nalaze nove na\u010dine da zaobi\u0111u sigurnosne provjere i da bez obzira \u0161to se aplikacija nalazi u <em>Google Play<\/em> prodavnici i \u0161to kompanija <em>Google<\/em> stalno unapre\u0111uje bezbjednosne mehanizme koji provjeravaju aplikacije prije nego \u0161to se pojave u prodavnici, korisnici ipak moraju biti pa\u017eljivi kada preuzimaju i koriste aplikacije.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>iRecorder Screen Recorder<\/em> aplikacija je brzo uklonjen iz <em>Google Play<\/em> prodavnice, ali incident pokre\u0107e alarmantna pitanja o potencijalnom postojanju agenata za spavanje koji se maskiraju kao bezopasne aplikacije na pametnim telefonima korisnika. Kao odgovor, <em>Google<\/em> navodno radi na a\u017euriranjima kako bi pobolj\u0161ao svest korisnika.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ova a\u017euriranja imaju za cilj da korisnicima obezbijede mjese\u010dna obavje\u0161tenja, informi\u0161uc\u0301i ih o aplikacijama koje su promijenile svoje prakse dijeljenja podataka, \u010dime se omogu\u0107ava korisnicima da preduzmu neophodne mjere predostro\u017enosti.<\/span><\/p>","protected":false},"excerpt":{"rendered":"<p>AhRat zlonamjerni softver skriven Android aplikaciji otkriva istra\u017eivanje sigurnosnih istra\u017eiva\u010da kompanije ESET. Zlonamjerna aplikacija Da izgled mo\u017ee da zavara, to je ve\u0107 poznato, kao i da se sve mijenja. Ovo otprilike opisuje iRecorder \u2013&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":4854,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[383,187,148,93],"class_list":["post-4848","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-ahrat","tag-android","tag-infostealer","tag-malware"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4848","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=4848"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4848\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/4854"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=4848"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=4848"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=4848"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}