Das Cybersicherheitsunternehmen ESET hat davor gewarnt, dass die einst beliebte Android-Bildschirmaufnahme-App iRecorder - Screen Recorder heimlich Mikrofonaufnahmen und andere Daten von den Telefonen der Nutzer stiehlt. Diese verdeckten Spionageaktivitäten begannen, nachdem die Anwendung ein Schadcode-Update erhalten hatte, mehrere Monate nachdem sie erstmals bei Google Play gelistet wurde.
Während der Untersuchung entdeckte ESET, dass die App iRecorder - Screen Recorder den bösartigen Code fast ein Jahr, nachdem sie zum ersten Mal bei Google Play gelistet wurde, in ihr System einfügte. Der Code ermöglichte es der App, alle 15 Minuten unbemerkt eine Minute Umgebungsgeräusche vom Mikrofon eines Geräts hochzuladen und außerdem Dokumente, Webseiten und Mediendateien von den Geräten der Benutzer zu stehlen.
Die App, die vor ihrer Entfernung aus Google Play mehr als 50.000 Mal heruntergeladen wurde, ist nicht mehr im App Store gelistet. Benutzern, die die App installiert haben, wird geraten, sie sofort von ihrem Gerät zu löschen.
Bei dem von ESET als AhRat bezeichneten Schadcode handelt es sich um eine modifizierte Version eines Open-Source-Remote-Access-Trojaners (RAT) namens AhMyth. RATs nutzen in der Regel einen breiten Zugang zu den Geräten der Opfer und funktionieren oft ähnlich wie Spyware und Stalkerware. Zu diesen Funktionen gehören auch Fernsteuerungsmöglichkeiten.
Der ESET-Sicherheitsforscher Lukas Stefanko, der die Malware entdeckte, erklärte in einem Blog-Beitrag, dass die iRecorder-App beim ersten Start im September 2021 keine bösartigen Funktionen enthielt. Der bösartige AhRat-Code wurde als App-Update an bestehende Nutzer sowie an neue Nutzer verteilt, die die App direkt von Google Play heruntergeladen haben. Anschließend begann die App, heimlich auf das Mikrofon des Nutzers zuzugreifen und dessen Telefondaten auf einen Server hochzuladen, der von den Betreibern der Malware kontrolliert wird. Stefanko erklärte, dass die Audioaufzeichnung im Rahmen des definierten App-Berechtigungsmodells erfolgte, da die App von vornherein in der Lage war, Bildschirmaufzeichnungen zu erstellen und Zugriff auf das Mikrofon des Geräts zu verlangen.
Die Identität des Täters, der den bösartigen Code eingeschleust hat, und sein Motiv dafür sind noch unbekannt. TechCrunch hat sich an die E-Mail-Adresse des Entwicklers gewandt, die in der Auflistung der App aufgeführt war, bevor sie entfernt wurde, hat aber bisher noch keine Antwort erhalten.
Stefanko vermutet, dass der bösartige Code wahrscheinlich Teil einer größeren Spionagekampagne ist. Solche Aktivitäten zielen darauf ab, Informationen über bestimmte Personen oder Organisationen zu sammeln, in der Regel zu politischen oder finanziellen Zwecken. Stefanko merkte an, dass es ungewöhnlich sei, dass ein Entwickler eine legitime App hochlade, fast ein Jahr warte und sie dann mit Schadcode aktualisiere.
Obwohl Google und Apple Apps auf Malware überprüfen, bevor sie zum Download angeboten werden, ist es nicht ungewöhnlich, dass schädliche Apps durch diesen Prozess schlüpfen. In einigen Fällen entfernen sie proaktiv Apps, die die Nutzer gefährden könnten. Google meldete letztes Jahr, dass es über 1,4 Millionen datenschutzverletzende Apps daran gehindert hat, Google Play zu erreichen. Während die Nutzer von iRecorder - Screen Recorder von einer Sicherheitslücke betroffen waren, können Nutzer anderer Plattformen mit Tools wie der No-Code-Plattform von AppMaster.io sichere Anwendungen ohne Risiko erstellen. AppMaster.io ermöglicht es den Nutzern, Backend-, Web- und Mobilanwendungen mit einer intuitiven visuellen Schnittstelle zu erstellen und so einen sicheren und effizienten Anwendungsentwicklungsprozess zu gewährleisten.
