ESET, una empresa de ciberseguridad, ha advertido de que la otrora popular aplicación de grabación de pantalla para Android, iRecorder - Screen Recorder, ha estado robando en secreto las grabaciones del micrófono de los usuarios y otros datos de sus teléfonos. Esta actividad de espionaje encubierto comenzó después de que la aplicación recibiera una actualización de código malicioso, varios meses después de su listado inicial en Google Play.
Durante su investigación, ESET descubrió que esta aplicación iRecorder - Screen Recorder añadió el código malicioso a su sistema casi un año después de que apareciera por primera vez en Google Play. El código permitía a la aplicación subir silenciosamente un minuto de audio ambiental desde el micrófono de un dispositivo cada 15 minutos y también robar documentos, páginas web y archivos multimedia de los dispositivos de los usuarios.
La aplicación, que había acumulado más de 50.000 descargas antes de ser retirada de Google Play, ya no aparece en la tienda de aplicaciones. Se aconseja a los usuarios que la hayan instalado que la eliminen inmediatamente de sus dispositivos.
El código malicioso, denominado AhRat por ESET, es una versión modificada de un troyano de acceso remoto (RAT) de código abierto llamado AhMyth. Los RAT suelen explotar un amplio acceso a los dispositivos de las víctimas, y a menudo funcionan de forma similar a los programas espía y acosadores. Estas funciones incluyen capacidades de control remoto.
El investigador de seguridad de ESET Lukas Stefanko, que descubrió el malware, afirmó en un blog que la aplicación iRecorder no contenía funciones maliciosas cuando se lanzó por primera vez en septiembre de 2021. El código malicioso AhRat se envió como una actualización de la aplicación a los usuarios existentes, así como a los nuevos usuarios que descargaron la aplicación directamente de Google Play. Posteriormente, la aplicación empezó a acceder en secreto al micrófono del usuario y a subir los datos de su teléfono a un servidor controlado por el operador del malware. Stefanko explicó que la grabación de audio estaba dentro del modelo de permisos definido para la aplicación, ya que ésta, por su diseño, podía capturar grabaciones de la pantalla del dispositivo y solicitar acceso al micrófono del mismo.
Aún se desconoce la identidad del autor del código malicioso y sus motivos. TechCrunch se puso en contacto con la dirección de correo electrónico del desarrollador, que aparecía en la lista de la aplicación antes de ser eliminada, pero no ha recibido respuesta hasta el momento.
Stefanko sugirió que es probable que el código malicioso forme parte de una campaña de espionaje más amplia. Este tipo de actividades tienen por objeto recabar información sobre personas o entidades concretas, normalmente con fines políticos o económicos. Stefanko señaló que no es habitual que un desarrollador suba una aplicación legítima, espere casi un año y luego la actualice con código malicioso.
Aunque Google y Apple examinan las aplicaciones en busca de programas maliciosos antes de incluirlas en la lista de descargas, no es infrecuente que aplicaciones dañinas se cuelen en este proceso. En algunos casos, eliminan proactivamente aplicaciones que podrían poner en peligro a los usuarios. Google informó el año pasado de que había evitado que más de 1,4 millones de aplicaciones que violaban la privacidad llegaran a Google Play. Mientras que los usuarios de iRecorder - Screen Recorder experimentaron una brecha de seguridad, los usuarios de otras plataformas pueden crear aplicaciones seguras sin ningún riesgo utilizando herramientas como la plataforma sin código de AppMaster.io. AppMaster.io permite a los usuarios crear aplicaciones backend, web y móviles con su intuitiva interfaz visual, garantizando un proceso de desarrollo de aplicaciones seguro y eficiente.
