Google, kullanıcıların e-postalarını, kısa mesajları, konumları, sesli çağrıları ve diğer hassas verilerin izlenip çıkarılmasına yönelik kod bulunan 20 adet Android uygulamasını Play pazarından ihraç etti.

Yaklaşık 100 telefona ulaşan uygulamalar bilinen güvenlik açıklarını Android'in eski sürümlerini çalıştıran "kök" cihazlara kullandı. Kök durumu, uygulamanın mobil işletim sisteminde yerleşik güvenlik korumalarını atlamasına izin verdi. Sonuç olarak, uygulamalar, Gmail, Hangouts, LinkedIn ve Messenger gibi en az bir düzine diğer uygulamayla depolanan, gönderilen veya alınan hassas verilere gizlice erişme olanağına sahiplerdi. Şimdi çıkarılan uygulamalar, saldırganların iletiler sırasında mesajlari yakalamasını zorlaştırmak için verileri şifreleyen Whatsapp, Telegram ve Viber tarafından gönderilen ve alınan iletileri de topladı.

Uygulamalar ayrıca aşağıdakilere izin veren işlevler içeriyordu:

Çağrı kaydı
VOIP kaydı
Cihaz mikrofonundan kayıt yapma
Yer izlemesi
Ekran görüntüsü alma
Cihaz fotoğraf makinesiyle fotoğraf çekme
Aygıt bilgisini ve dosyalarını alma
Kullanıcı bilgilerini getirme (kişiler, çağrı günlükleri, SMS, uygulamaya özel veriler)
DAHA FAZLA OKUMA
Bulundu: Muhtemelen en sofistike Android casus yazılım uygulaması
Gözetim yeteneklerini gizlemek için uygulamalar, istenmeyen dosyaları temizlemek veya verileri yedeklemek için araçlar olarak gösterildi. Google, uygulamanın Equus Technologies adlı bir siber silah şirketi tarafından geliştirildiğine dair kanıt içerdiğini söyledi. Nisan ayında, Google yetkilileri, NSO Grup Teknolojileri adlı farklı bir kesme aracı sağlayıcı tarafından geliştirilen farklı bir Android gözetim uygulamaları ailesi için uyarıda bulundu . Bu uygulamalar , Birleşik Arap Emirlikleri'ndeki siyasi muhaliflere karşı kullanılan, Pegasus olarak bilinen gelişmiş iOS casus yazılımıyla alakalıydı. Ancak bu durumda, Pegasus'la ilişkili Android uygulamaları Google Play'e hiç girmediler.
Google yeni gözlem uygulamaları serisini "Lipizzan" olarak adlandırdı. Çarşamba günü yayınlanan bir blog yazısında , şirket araştırmacıları iki aşamalı bir araç olduklarını açıkladı. İlk aşama, Google Play ve diğer kanallar aracılığıyla dağıtıldı ve genellikle meşru bir uygulama olarak taklit edildi. Yüklendikten sonra, uygulamalar bir çeşit lisans doğrulamasını içeren ikinci bir aşamayı indirir ve yükler. Bu ikinci aşama, virüslü aygıtı araştırıyor. Sonuçlara bağlı olarak ikinci aşamada cihaz köklenir ve cihaz verilerini geliştiriciler tarafından kontrol edilen bir sunucuya sızdırmaya başlar.

Google araştırmacılar, Pegasus'la ilgili uygulamaları araştırırken geliştirdikleri teknikleri kullanarak uygulamaları keşfetti. Teknikler , önceden kurulmuş uygulamaları düzenli olarak tarayan ve güvenlik endişeleri konusunda uyaran bir araç olan Google Play Protect ile ilgilidir. Araştırmacılar Google Play'deki daha önceki bir dizi uygulamayı bloke ettikten sonra geliştiriciler benzer bir formatta ancak tasfiyeyi düzeltmek için bir takım farklılıklar içeren yeni bir dizi uygulama yükledi. Google araştırmacılar yeni topluluğu hızla gördüler ve bunları da kaldırdılar.

Google'ın açıklaması, antivirüs sağlayıcısı Sophos'un araştırmacılarının Google Play'de kısa mesajları da çaldığı iki uygulama belgelemesi yaklaşık 12 saat önce gerçekleşti . Bir uygulama bir uygulama mağazası kısayol özelliği ve diğer örme uygulamaları "Cilt Bakımı Dergisi" için bir uygulama olarak gösterilir. Bir eklenti indirerek çalıştılar. Birlikte, 100.000 ila 500.000 indirme aldılar.

Editör: TE Bilişim