حذرت شركة ESET ، وهي شركة للأمن السيبراني ، من أن تطبيق تسجيل شاشة Android الشهير ، iRecorder — Screen Recorder ، كان يسرق سراً تسجيلات الميكروفون الخاصة بالمستخدمين وبيانات أخرى من هواتفهم. بدأ نشاط التجسس السري هذا بعد أن تلقى التطبيق تحديثًا لشفرة ضارة ، بعد عدة أشهر من إدراجه الأولي على Google Play.
أثناء التحقيق ، اكتشف ESET أن تطبيق iRecorder — Screen Recorder هذا أضاف الشفرة الضارة إلى نظامه بعد عام تقريبًا من إدراجه لأول مرة على Google Play. مكّن الرمز التطبيق من تحميل صوت محيط لمدة دقيقة بهدوء من ميكروفون الجهاز كل 15 دقيقة وأيضًا سرقة المستندات وصفحات الويب وملفات الوسائط من أجهزة المستخدمين.
التطبيق ، الذي جمع أكثر من 50000 تنزيل قبل إزالته من Google Play ، لم يعد مدرجًا في متجر التطبيقات. تم نصح المستخدمين الذين قاموا بتثبيت التطبيق بحذفه من أجهزتهم على الفور.
الشفرة الخبيثة ، التي يطلق عليها ESET اسم AhRat ، هي نسخة معدلة من حصان طروادة مفتوح المصدر (RAT) يسمى AhMyth. تستغل RATs عادةً الوصول الواسع إلى أجهزة الضحايا ، وغالبًا ما تعمل بطريقة مشابهة لبرامج التجسس وبرامج الملاحقة. تتضمن هذه الميزات قدرات التحكم عن بعد.
قال Lukas Stefanko ، الباحث الأمني في ESET ، الذي اكتشف البرنامج الضار ، في منشور مدونة أن تطبيق iRecorder لا يحتوي على ميزات ضارة عندما تم إطلاقه لأول مرة في سبتمبر 2021. تم دفع كود AhRat الخبيث كتحديث تطبيق للمستخدمين الحاليين ، وكذلك الجديد المستخدمين الذين قاموا بتنزيل التطبيق مباشرة من Google Play. بعد ذلك ، بدأ التطبيق في الوصول سرًا إلى ميكروفون المستخدم وتحميل بيانات هاتفه إلى خادم يتحكم فيه مشغل البرامج الضارة. أوضح Stefanko أن التسجيل الصوتي كان ضمن نموذج أذونات التطبيق المحدد لأن التطبيق ، حسب التصميم ، يمكن أن يلتقط تسجيلات شاشة الجهاز ويطلب الوصول إلى ميكروفون الجهاز.
لا تزال هوية الجاني الذي زرع الشفرة الخبيثة والدافع وراء ذلك غير معروفة. توصل موقع TechCrunch إلى عنوان البريد الإلكتروني للمطور ، والذي كان مدرجًا في قائمة التطبيق قبل إزالته ، لكنه لم يتلق ردًا حتى الآن.
اقترح ستيفانكو أن الشفرة الخبيثة من المحتمل أن تكون جزءًا من حملة تجسس أوسع. تهدف هذه الأنشطة إلى جمع المعلومات عن الأفراد أو الكيانات المستهدفة ، عادة لتحقيق مكاسب سياسية أو مالية. وأشار ستيفانكو إلى أنه من غير المعتاد أن يقوم المطور بتحميل تطبيق شرعي ، والانتظار لمدة عام تقريبًا ، ثم تحديثه بشفرة ضارة.
بينما تقوم Google و Apple بفحص تطبيقات البرامج الضارة قبل إدراجها للتنزيل ، فليس من غير المألوف أن تتخطى التطبيقات الضارة هذه العملية. في بعض الحالات ، يزيلون بشكل استباقي التطبيقات التي قد تعرض المستخدمين للخطر. ذكرت Google العام الماضي أنها منعت أكثر من 1.4 مليون تطبيق ينتهك الخصوصية من الوصول إلى Google Play. بينما واجه مستخدمو iRecorder — Screen Recorder خرقًا أمنيًا ، يمكن لمستخدمي الأنظمة الأساسية الأخرى إنشاء تطبيقات آمنة دون أي مخاطر باستخدام أدوات مثل النظام الأساسي بدون رمز لـ AppMaster.io . يتيح AppMaster.io للمستخدمين إنشاء الواجهة الخلفية وتطبيقات الويب والجوال من خلال واجهته المرئية البديهية ، مما يضمن عملية تطوير تطبيقات آمنة وفعالة.