ESET, sebuah perusahaan keamanan dunia maya, telah memperingatkan bahwa aplikasi perekaman layar Android yang pernah populer, iRecorder — Screen Recorder, telah secara diam-diam mencuri rekaman mikrofon pengguna dan data lainnya dari ponsel mereka. Aktivitas mata-mata terselubung ini dimulai setelah aplikasi menerima pembaruan kode berbahaya, beberapa bulan setelah listingan awalnya di Google Play.
Selama penyelidikannya, ESET menemukan bahwa aplikasi iRecorder — Screen Recorder ini menambahkan kode berbahaya ke sistemnya hampir satu tahun setelah pertama kali terdaftar di Google Play. Kode tersebut memungkinkan aplikasi untuk secara diam-diam mengunggah audio sekitar satu menit dari mikrofon perangkat setiap 15 menit dan juga mencuri dokumen, halaman web, dan file media dari perangkat pengguna.
Aplikasi, yang telah mengumpulkan lebih dari 50.000 unduhan sebelum dihapus dari Google Play, tidak lagi terdaftar di app store. Pengguna yang telah menginstal aplikasi disarankan untuk segera menghapusnya dari perangkat mereka.
Kode berbahaya, dijuluki AhRat oleh ESET, adalah versi modifikasi dari trojan akses jarak jauh (RAT) sumber terbuka yang disebut AhMyth. RAT biasanya mengeksploitasi akses luas ke perangkat korban, dan seringkali berfungsi dengan cara yang mirip dengan spyware dan stalkerware. Fitur-fitur ini termasuk kemampuan kendali jarak jauh.
Peneliti keamanan ESET Lukas Stefanko, yang menemukan malware tersebut, mengatakan dalam postingan blog bahwa aplikasi iRecorder tidak berisi fitur berbahaya saat pertama kali diluncurkan pada September 2021. pengguna yang mengunduh aplikasi langsung dari Google Play. Selanjutnya, aplikasi mulai secara diam-diam mengakses mikrofon pengguna dan mengunggah data ponsel mereka ke server yang dikendalikan oleh operator malware. Stefanko menjelaskan bahwa rekaman audio berada dalam model izin aplikasi yang ditentukan karena aplikasi, dengan desain, dapat menangkap rekaman layar perangkat dan meminta akses mikrofon perangkat.
Identitas pelaku yang menanamkan kode jahat dan motif mereka melakukannya masih belum diketahui. TechCrunch menghubungi alamat email pengembang, yang terdaftar di daftar aplikasi sebelum dihapus, tetapi sejauh ini belum menerima tanggapan.
Stefanko menyarankan bahwa kode berbahaya tersebut kemungkinan merupakan bagian dari kampanye spionase yang lebih luas. Kegiatan semacam itu ditujukan untuk mengumpulkan informasi tentang individu atau entitas yang ditargetkan, biasanya untuk keuntungan politik atau keuangan. Stefanko mencatat bahwa pengembang tidak biasa mengunggah aplikasi yang sah, menunggu hampir setahun, lalu memperbaruinya dengan kode berbahaya.
Meskipun Google dan Apple menyaring aplikasi untuk malware sebelum mencantumkannya untuk diunduh, tidak jarang aplikasi berbahaya lolos dari proses ini. Dalam beberapa kasus, mereka secara proaktif menghapus aplikasi yang dapat membahayakan pengguna. Google melaporkan tahun lalu bahwa mereka telah mencegah lebih dari 1,4 juta aplikasi yang melanggar privasi menjangkau Google Play. Sementara pengguna iRecorder — Screen Recorder mengalami pelanggaran keamanan, pengguna platform lain dapat membangun aplikasi yang aman tanpa risiko menggunakan alat seperti platform tanpa kode AppMaster.io . AppMaster.io memungkinkan pengguna membuat aplikasi backend, web, dan seluler dengan antarmuka visualnya yang intuitif, memastikan proses pengembangan aplikasi yang aman dan efisien.