M­a­c­ ­i­ç­i­n­ ­N­i­g­h­t­O­w­l­ ­N­a­s­ı­l­ ­B­o­t­n­e­t­ ­E­k­l­e­d­i­?­

Bu Dev Şirket Neredeyse Tüm Flört Uygulamalarının Sahibi

2021’de “Night Shift” karanlık modunu etkinleştiren daha fazla resmi macOS özelliğinin eklenmesiyle NightOwl uygulaması birçok eski Mac’te terk edilmiş ve unutulmuştu. On binlerce kullanıcının olduğu varsayılan bu kullanıcıların çok azı, eski M cihazlarının arka planında çalıştırdıkları uygulamayı fark etmiş olabilir.acs’nin başka bir şirket tarafından satın alınması veya bu yılın başlarında bu şirketin karanlık mod uygulamasını sessizce güncelleyerek IP verilerini etkilenen bilgisayarlardan oluşan bir sunucu ağı, AKA bir botnet üzerinden göndermek için makinelerini ele geçirmesi.

Bazı kullanıcılardan sonra uygulamayla ilgili belirtilen sorunlar Haziran güncellemesinden sonra web geliştiricisi Taylor Robinson keşfetti program kullanıcıları yeniden yönlendirdiğinden sorun derinleşti bilgisayarların bağlantılarını herhangi bir bildirimde bulunmadan Gerçek karanlık modun, saygın bir Mac uygulamasının veri toplayıcılar için bir oyun alanına dönüştürülmesi olduğu ortaya çıktı.

Robinson, Gizmodo’ya gönderdiği bir e-postada uygulamayla ilgili kendi araştırmasını ayrıntılı olarak anlattı. NightOwl’un, kullanıcıların bilgisayarını üçüncü taraflara satılan veriler için bir tür botnet aracısına dönüştüren bir başlatıcı yüklediğini buldular. NightOwl’un 13 Haziran’da yayınlanan güncellenmiş 0.4.5.4 sürümünün, kullanıcıların doğrudan bilgisi veya izni olmadan yerel bir HTTP proxy çalıştırdığı belirtildi.. NightOwl’un kullanıcılara bir şeyler döndüğüne dair verdiği tek ipucu, kullanıcılardan sonra bir izin bildirimidir. uygulamayı söyleyerek indirme düğmesine basın anonimleştirilmiş izleme ve hatalar için Google Analytics’i kullanır. Botnet ayarları uygulama aracılığıyla devre dışı bırakılamaz ve Mac’te yapılan değişiklikleri kaldırmak için kullanıcıların Mac Terminali uygulaması Robinson’a göre kodun kalıntılarını sistemlerinden çıkarmak.

Şu anda, özellikle NightOwl’un yaptığı gibi, görünüşte kötü niyetli koddan kaç kullanıcının etkilendiği belli değil. o zamandan beri hem web sitesinde hem de uygulama mağazasında kullanılamıyor. NightOwl sitesi, uygulamanın 141.000’den fazla indirildiğini ve uygulamada 27.000’den fazla aktif kullanıcının bulunduğunu iddia ediyor. Apple yeni Karanlık Mod yazılımını yükledikten sonra uygulama kullanıcılarının çoğunu kaybetmiş olsa bile potansiyel olarak binlerce kullanıcı vardı. NightOwl’u eski Mac’lerinde çalıştıran kullanıcılar.

Robinson, uygulamayı yıkıcı kötü amaçlı yazılım olarak adlandıran raporunu yayınladıktan günler sonra NightOwl, bu uygulamaya bir yorum ekledi. alan okuma: “Uygulamamız herhangi bir kötü amaçlı yazılım içermiyor. Ortaya atılan endişeler yanlış tanımlamaya dayanıyor ve bu durumu derhal düzeltmek için tüm büyük antivirüs şirketleriyle aktif olarak çalışıyoruz.”

Şirketin “tüm büyük antivirüs şirketleri” derken neyi kastettiği ve bu antivirüs yazılımını nasıl değiştirmeyi planladığı henüz belli değil. uygulama. Robinson, botnet bağlantısının zorla Mac’in ana kullanıcı hesabında çalıştırılması ve kullanıcılar cihazlarını başlattıklarında başlatılması nedeniyle uygulamanın anonim kalması için özel olarak tasarlanmış gibi göründüğünü belirtti. Web geliştiricisi ilk önce garip trafiği fark etti ilgisiz bir konu için ağ trafiğini analiz ederken. Tüm bu trafik onlardan geliyordu bilgisayardan sitelere daha önce hiç duymamıştım. Elbette, diğer bariz botnet şemaları reklam geliriyle oyun oynamaya çalışabilirancak kullanıcı verilerini satmak yaygın bir uygulama olsa da çoğu uygulamanın, cihazlarını her açtığında önyükleme yapan yazılımı zorla yüklemeye başvurması gerekmez.

Ancak şirketin sahipleri olarak bu botnet davranışını da dahil etmeyi planladığı açık. not koy Kötü amaçlı yazılım benzeri etkinlikleri içeren en son güncellemeyi yayınlamadan önce NightOwl’un Kullanım Koşulları sayfasında. Gizmodo, NightOwl uygulamasının sahiplerine defalarca ulaştı ancak bir yanıt alamadık. Ancak şu anda uygulamanın sahibi olan grup yanıt verdi HowtoGeekşunu belirtiyor:

“NightOwl’dan para kazanmak için saygın bir konut proxy hizmetiyle ortaklık kurduk. Ortağımızın kullanıcılarının NightOwl kullanıcısının IP adresi aracılığıyla bazı istekler göndermesine olanak tanıyan SDK’larını uygulamanın arka ucuna ekledik. Yalnızca kullanıcıların IP adreslerini topladığımızı unutmamak önemlidir. Başka hiçbir kullanıcı verisi toplanmaz. Bunu şartlar ve koşullarımızda açıkladık.

Bazı kullanıcıların yüksek seviyedeki endişeleri göz önüne alındığında, kullanıcılara bu seçeneğin dışında kalma seçeneği sunmaya çalışıyoruz. Uygulamayı yeniden yayınlayabilirsek, ya bu SDK’yı tamamen kaldıracağız ya da devre dışı bırakma için kolay bir seçenek sunacağız. Yarattığımız rahatsızlık ve endişeden dolayı özür dileriz.”

Robinson Gizmodo’ya bunu gösterecek hiçbir şey olmadığını söyledi şirket botnet aracılığıyla IP’lerden daha fazlasını topladı. Ancak Robinson, uygulama sahiplerinin hâlâ “mümkün olduğunca” izlerini örtmeye çalıştıklarını söyledi. Robinson’a göre uygulama sahibi, arka plan botnet hizmetine “AutoUpdate” adını verdi ve NightOwl’lu bir bilgisayar başlatıldığında yönlendirme yazılımı başlatıldı.

Robinson, uygulamanın, bilgisayarlarını kendi verileri için bir kaynak haline getirmeleri için otomatik olarak güncellendiğini kullanıcılara bildirmediğini söyledi.. Beş yıllık uygulamada değişiklik yapıldığına dair tek ipucu NightOwl’un kullanım şartlarına eklenen dildi sayfa Haziran ayında geri döndüm. Hizmet Şartları, uygulamanın kullanıcıların bilgisayarlarını internet trafiğini üçüncü şahıslarla paylaşmak için bir “ağ geçidi” olmaya zorluyor. Hizmet Şartları sayfası ayrıca uygulamanın cihazlarının ağ ayarlarını değiştirdiğini ve cihazın “web ve pazar araştırması, SEO, marka koruması, içerik dağıtımı, siber güvenlik vb. konularda uzmanlaşmış şirketler de dahil olmak üzere NightOwl uygulamasının Müşterileri için bir ağ geçidi görevi gördüğünü” söylüyor.

Uygulamanın Apple App Store’da kullanıma sunulması için gerekli olan imzalama sertifikası, iptal edildive kullanıcılar artık buna erişemiyor. İptal edenin şirket mi yoksa uygulama geliştiriciler mi olduğunu öğrenmek için Apple’a ulaştık ancak herhangi bir yanıt alamadık.

Mac’inizde NightOwl uygulaması yüklüyse hemen ondan kurtulmalısınız. Robinson’un Blog tüketim için gereken Terminal komutlarının ayrıntılarını verir uygulamayı cihazınızdan indirin.

NightOwl satın alındı, sonra Truva Atı’na dönüştürüldü

Orijinal NightOwl uygulaması, Alman geliştirici Benjamin Kramser tarafından 2018 yılında oluşturuldu. alanKramser, NightOwl’u macOS Mojave’deki karanlık modda “kullanılabilirlik sorunları” olduğu için yaptı. Sonra yayınlandıktan sonra birçok olumlu makaleden ve uygulamasını öven YouTube videolarından keyif aldı.

NightOwl’un 2020’nin sonlarında yayınlanan 0.3.0 sürümü, ana geliştirici olarak Kramser tarafından imzalandı. İki yıl sonra 0.3.0’ın yeni bir sürümü App Store’a çıktı. Robinson tarafından paylaşılan verilere göre uygulamanın bu yeni sürümü, başka bir kişi olan Münir Ahmed tarafından imzalandı. Uygulamanın bu sürümü yeni bir arka uç SDK’sı ekledi ancak Robinson’un daha sonra belirttiği botnet hâlâ eksikti.

Kasım 2022’de halka açık olarak kayıtlı bir şirket TPE.FYI LLC Kramser’in kendi sitesinde yayınladığı bir mesaja göre uygulamayı satın aldı. Şirket Tempo Tutarak halka açıldı. Buna göre mevcut kayıtlar, birkaç eski yazılım geliştiricisi tarafından, düzeni bozacak bir uygulama geliştirmek gibi asil bir amaç ile kuruldu. Ticketmaster gibi şirketlerin müzik endüstrisinde bilet fiyatı tekeli var. Keeping Tempo’ya CEO Jarod Stirling başkanlık ediyordu ve genel merkezi Austin, Teksas’taydı. Ancak LLC ile ilgili son bilgiler, bu yılın başlarında franchise vergi beyannamesini vermemesinin ardından faaliyet dışı kaldığı yönündeydi. kamuya açık veriler OpenCorporates’te.

Keeping Tempo’nun tamamen feshedilip kaldırılmadığı ve hangi girişimin olduğu belli değil şu anda bu isimle faaliyet göstermektedir. Bulunan kullanıcılar Robinson tarafından belgelenen botnet’i kuran Haziran NightOwl güncellemesi kapsamında dosyalara “TPE-FYI, LLC” adı dahil edildi.. Yeni sahiplere rağmen Nightowl sitesinde hâlâ Kramser’den uygulamanın geliştirilmesiyle ilgili alıntıların yanı sıra NightOwl’un özelliklerini öven 2018 tarihli makalelere bağlantılar yer alıyor.

Bir NightOwl kullanıcısı Kramser’a botnet aktivitelerini sordu. heyecan uygulama kaldırılmadan önce. Geliştirici, uygulamadaki değişiklikler hakkında hiçbir bilgisi olmadığını söyledi ve uygulamanın sahibi şirkete NightOwl’un faaliyetleri hakkında soru sormayı planladığını da sözlerine ekledi. Gizmodo, Twitter DM aracılığıyla Kramser ile iletişime geçti ve geliştirici, web sitesinde yayınladığı aynı açıklamayı yineledi. Web sitesinde, uygulamayı çalışır durumda tutma konusunda “zaman kısıtlaması nedeniyle” şirketi geçen yıl sattığını iddia etti. Gizmodo’nun NightOwl uygulamasının şu anda kimin sahibi olduğuna ilişkin sorularını yanıtlamadı.

Kramser, “Bu karar, yeni (Pro) özelliklerin ve abonelik modelinin tanıtılacağı anlayışıyla alındı” dedi. “Maalesef ‘TPE.FYI LLC’ üçüncü taraf bir SDK entegre ederek uygulamadan para kazanmayı seçti. Bu karar hiçbir şekilde benimle bağlantılı değildir ve hiçbir şekilde onaylamıyorum.”

Kramser’in satın alan şirketin kötü niyetinden gerçekten haberi olmasa bile Robinson, uygulamanın satın alınması konusunda şüpheci olmak için hala iyi nedenler olduğunu söyledi.

“Şüpheli bir şirket uygulamanızı satın almayı teklif ettiğinde, yatırımlarını telafi etmek için tamamen kullanıcı odaklı yöntemler kullanmayacaklarını bilmelisiniz, ancak bu da onu sosyal medyadaki bazı kişilerin yaptığı gibi kötü adam yapmaz. medya söylüyor,” dedi internet dedektifi.

Eski Uygulamalar Nasıl Bozulur?

Bu, güvenilir görünen uygulamaların, kullanıcıların bilgisayarlarına yüklendikten sonra Truva Atı olarak çalıştığı ilk sefer değil. Herhangi bir yıla geri döndüğünüzde tüketicilerin güvenini kötüye kullanan yasal görünen uygulamalarla karşılaşırsınız. 2013 yılında popüler olan En Parlak El Feneri Uygulaması Federal Ticaret Komisyonu tarafından dava açıldı kullanıcıların konum verilerini ve cihaz bilgilerini üçüncü taraflara aktardığı iddiası. Geliştirici sonunda açıklanmayan bir miktar karşılığında FTC ile anlaştı.

Yazılım geliştiricileri keşfetti Şık tarayıcı uzantısı uygulama satın alındıktan sonra tüm kullanıcılarının web sitesi ziyaretlerini kaydetmeye başladı 2017’de BenzerWeb tarafından. Başka bir uzantı, Büyük Askıkötü amaçlı yazılım olarak işaretlendikten sonra bilinmeyen bir gruba satıldı 2020’de. Tüm bu uygulamaların herkesten önce milyonlarca kullanıcısı vardı izinsiz giriş işaretlerini fark etti. Bu durumlarda, yeni uygulama sahiplerinin şüpheli çabaları, hasat işleminin daha müdahaleci bir versiyonunu desteklemek içindi verizahmetsiz, ahlaksız bir maaş günü için üçüncü şahıslara satılabilir.

Uygulama geliştirmek hem zor hem de pahalıdır ve bireysel içerik oluşturucular için fırsat ortaya çıktığında satış yapmak cazip gelebilir. Robinson, daha önce de oraya gittiklerini, ücretsiz bir uygulama geliştirdiklerini ve bunun ne kadar maliyetli olduğunu deneyimlediklerini söyledi.

“Elinizden bu yükü alacak birine satabilecekken, hiçbir şey elde edemediğiniz bir şeye neden saatler harcıyorsunuz, değil mi?” Robinson şunları söyledi. “Bu müteahhitlerden bazılarının mali durumlarından emin değilim, ancak her ay kirayı ödemekte zorlanıyorsanız ve size ayda beş haneli teklifler veriliyorsa, parayı alıp bir fedakarlık yapacaksınız. biraz da ahlakına bak.”