ESET, una società di cybersicurezza, ha avvertito che iRecorder - Screen Recorder, un'applicazione un tempo popolare per la registrazione dello schermo di Android, ruba segretamente le registrazioni del microfono degli utenti e altri dati dai loro telefoni. Questa attività di spionaggio è iniziata dopo che l'applicazione ha ricevuto un aggiornamento del codice maligno, diversi mesi dopo il suo inserimento iniziale su Google Play.
Durante l'indagine, ESET ha scoperto che l'applicazione iRecorder - Screen Recorder ha aggiunto il codice dannoso al suo sistema quasi un anno dopo essere stata inserita per la prima volta su Google Play. Il codice permetteva all'app di caricare silenziosamente un minuto di audio ambientale dal microfono di un dispositivo ogni 15 minuti e di rubare anche documenti, pagine web e file multimediali dai dispositivi degli utenti.
L'applicazione, che aveva accumulato più di 50.000 download prima di essere rimossa da Google Play, non è più presente nell'app store. Agli utenti che hanno installato l'applicazione è stato consigliato di eliminarla immediatamente dal proprio dispositivo.
Il codice dannoso, soprannominato AhRat da ESET, è una versione modificata di un trojan open-source ad accesso remoto (RAT) chiamato AhMyth. I RAT sfruttano tipicamente un ampio accesso ai dispositivi delle vittime e spesso funzionano in modo simile a spyware e stalkerware. Queste caratteristiche includono capacità di controllo remoto.
Il ricercatore di sicurezza di ESET Lukas Stefanko, che ha scoperto il malware, ha dichiarato in un post sul blog che l'applicazione iRecorder non conteneva alcuna funzionalità dannosa quando è stata lanciata per la prima volta nel settembre 2021. Il codice maligno AhRat è stato inviato come aggiornamento dell'app agli utenti esistenti e ai nuovi utenti che hanno scaricato l'app direttamente da Google Play. Successivamente, l'app ha iniziato ad accedere segretamente al microfono dell'utente e a caricare i dati del telefono su un server controllato dall'operatore del malware. Stefanko ha spiegato che la registrazione audio rientrava nel modello di autorizzazioni dell'app, poiché l'app, per sua stessa concezione, poteva catturare registrazioni dello schermo del dispositivo e richiedere l'accesso al microfono del dispositivo.
L'identità dell'autore del codice maligno e il motivo che lo ha spinto a farlo rimangono sconosciuti. TechCrunch ha contattato l'indirizzo e-mail dello sviluppatore, che era presente nell'elenco dell'applicazione prima che venisse rimossa, ma finora non ha ricevuto risposta.
Stefanko ha suggerito che il codice maligno è probabilmente parte di una più ampia campagna di spionaggio. Tali attività sono finalizzate alla raccolta di informazioni su individui o entità mirate, di solito a scopo politico o finanziario. Stefanko ha osservato che è insolito che uno sviluppatore carichi un'applicazione legittima, attenda quasi un anno e poi la aggiorni con codice maligno.
Sebbene Google e Apple controllino le app per verificare la presenza di malware prima di inserirle negli elenchi per il download, non è raro che le app dannose sfuggano a questo processo. In alcuni casi, rimuovono proattivamente le app che potrebbero mettere a rischio gli utenti. L'anno scorso Google ha comunicato di aver impedito a oltre 1,4 milioni di app che violavano la privacy di raggiungere Google Play. Mentre gli utenti di iRecorder - Screen Recorder hanno subito una violazione della sicurezza, gli utenti di altre piattaforme possono creare applicazioni sicure senza rischi utilizzando strumenti come la piattaforma no-code di AppMaster.io. AppMaster.io consente agli utenti di creare applicazioni backend, web e mobili con la sua interfaccia visiva intuitiva, garantendo un processo di sviluppo delle applicazioni sicuro ed efficiente.
