ESET, une société de cybersécurité, a averti que l'application Android d'enregistrement d'écran iRecorder - Screen Recorder, autrefois très populaire, volait secrètement les enregistrements du microphone des utilisateurs et d'autres données de leurs téléphones. Cette activité d'espionnage secrète a commencé après que l'application a reçu une mise à jour de code malveillant, plusieurs mois après son inscription initiale sur Google Play.
Au cours de son enquête, ESET a découvert que l'application iRecorder - Screen Recorder avait ajouté un code malveillant à son système près d'un an après sa première inscription sur Google Play. Ce code permettait à l'application de télécharger discrètement, toutes les 15 minutes, une minute de son ambiant à partir du microphone d'un appareil et de voler des documents, des pages web et des fichiers multimédias sur les appareils des utilisateurs.
L'application, qui avait accumulé plus de 50 000 téléchargements avant d'être retirée de Google Play, n'est plus listée sur l'app store. Il est conseillé aux utilisateurs qui ont installé l'application de la supprimer immédiatement de leur appareil.
Le code malveillant, baptisé AhRat par ESET, est une version modifiée d'un cheval de Troie d'accès à distance (RAT) open-source appelé AhMyth. Les RAT exploitent généralement un large accès aux appareils des victimes et fonctionnent souvent d'une manière similaire aux logiciels espions et aux logiciels de harcèlement. Ils offrent notamment la possibilité de prendre le contrôle à distance.
Le chercheur en sécurité d'ESET Lukas Stefanko, qui a découvert le logiciel malveillant, a déclaré dans un billet de blog que l'application iRecorder ne contenait aucune fonction malveillante lors de son lancement en septembre 2021. Le code malveillant AhRat a été diffusé sous forme de mise à jour de l'application aux utilisateurs existants, ainsi qu'aux nouveaux utilisateurs qui ont téléchargé l'application directement à partir de Google Play. Par la suite, l'application a commencé à accéder secrètement au microphone de l'utilisateur et à télécharger les données de son téléphone vers un serveur contrôlé par l'opérateur du logiciel malveillant. M. Stefanko a expliqué que l'enregistrement audio s'inscrivait dans le modèle de permissions défini pour l'application, puisque celle-ci, de par sa conception, pouvait capturer des enregistrements d'écran et demander l'accès au microphone de l'appareil.
L'identité de l'auteur du code malveillant et ses motivations restent inconnues. TechCrunch a contacté l'adresse électronique du développeur, qui figurait sur la liste de l'application avant qu'elle ne soit supprimée, mais n'a pas reçu de réponse jusqu'à présent.
Stefanko a suggéré que le code malveillant faisait probablement partie d'une campagne d'espionnage plus large. Ces activités visent à recueillir des informations sur des personnes ou des entités ciblées, généralement à des fins politiques ou financières. M. Stefanko a fait remarquer qu'il est inhabituel qu'un développeur télécharge une application légitime, attende près d'un an, puis la mette à jour avec un code malveillant.
Bien que Google et Apple vérifient que les applications ne contiennent pas de logiciels malveillants avant de les proposer au téléchargement, il n'est pas rare que des applications nuisibles échappent à ce processus. Dans certains cas, ils suppriment de manière proactive les applications susceptibles de mettre les utilisateurs en danger. Google a indiqué l'année dernière qu'il avait empêché plus de 1,4 million d'applications portant atteinte à la vie privée d'atteindre Google Play. Si les utilisateurs d'iRecorder - Screen Recorder ont été victimes d'une faille de sécurité, les utilisateurs d'autres plateformes peuvent créer des applications sûres sans aucun risque grâce à des outils tels que la plateforme sans code d'AppMaster.io. AppMaster.io permet aux utilisateurs de créer des applications backend, web et mobiles grâce à son interface visuelle intuitive, garantissant ainsi un processus de développement d'applications sûr et efficace.