Androidの有名画面録画アプリ、Google Play掲載から数カ月後にユーザーへの秘密監視を開始

サイバーセキュリティ企業のESETは、かつて人気を博したAndroidの画面録画アプリ「iRecorder - Screen Recorder」が、ユーザーのマイク録音やその他のデータを携帯電話から密かに盗み出していると警告しています。この秘密裏のスパイ活動は、Google Playへの最初の掲載から数ヶ月後、アプリケーションが悪質なコードアップデートを受けた後に始まりました。

ESETは調査の中で、このiRecorder - Screen RecorderアプリがGoogle Playに最初に掲載されてから約1年後に悪意のあるコードをシステムに追加したことを発見しました。このコードにより、このアプリは、15分ごとにデバイスのマイクから1分間分の周囲の音声を静かにアップロードし、さらにユーザーのデバイスからドキュメント、Webページ、メディアファイルを盗み出すことが可能になりました。

Google Playから削除される前に5万以上のダウンロードを記録していたこのアプリは、アプリストアに掲載されなくなりました。このアプリをインストールしたユーザーは、すぐにデバイスから削除するよう勧告されています。

ESETがAhRatと名付けたこの悪質なコードは、AhMythと呼ばれるオープンソースのリモートアクセス型トロイの木馬（RAT）の修正版です。RATは通常、被害者のデバイスへの広範なアクセスを悪用し、スパイウェアやストーカーウェアに似た機能を持つことが多い。これらの機能には、リモートコントロール機能が含まれています。

このマルウェアを発見したESETのセキュリティ研究者Lukas Stefankoは、2021年9月の初回起動時にはiRecorderアプリに悪意のある機能はなかったとブログ記事で述べています。悪意のあるAhRatコードは、既存のユーザーだけでなく、Google Playから直接アプリをダウンロードした新規ユーザーにも、アプリのアップデートとしてプッシュされました。その後、アプリはユーザーのマイクに密かにアクセスし、マルウェアの運営者が管理するサーバーにユーザーのスマホデータをアップロードするようになりました。Stefankoは、アプリは設計上、デバイスの画面録画をキャプチャし、デバイスのマイクへのアクセスを要求できるため、音声録音は定義されたアプリの権限モデル内にあると説明しました。

悪意のあるコードを仕込んだ犯人の身元やその動機は、まだ不明です。TechCrunchは、削除される前のアプリのリストに記載されていた開発者の電子メールアドレスに問い合わせたが、今のところ回答は得られていない。

Stefanko氏は、この悪質なコードは、より広範なスパイ活動の一環である可能性が高いことを示唆した。このような活動は、通常、政治的または経済的な利益を得るために、標的となる個人または団体の情報を収集することを目的としています。Stefanko氏は、開発者が正規のアプリをアップロードし、1年近く待ってから、悪意のあるコードでアップデートするのは異例であると指摘しました。

GoogleやAppleは、アプリをダウンロードできるようにする前にマルウェアの有無を審査していますが、有害なアプリがこのプロセスをすり抜けることは珍しくありません。場合によっては、ユーザーを危険にさらす可能性のあるアプリを積極的に削除することもある。Googleは昨年、プライバシーを侵害する140万以上のアプリがGoogle Playに到達するのを阻止したと報告しています。iRecorder - Screen Recorderのユーザーはセキュリティ侵害を経験しましたが、他のプラットフォームのユーザーは、 AppMaster.ioのノーコード・プラットフォームなどの ツールを使って、リスクなく安全なアプリケーションを構築できます。AppMaster.io は、直感的なビジュアル・インターフェースでバックエンド、ウェブ、モバイルアプリケーションを作成でき、安全かつ効率的なアプリケーション開発プロセスを保証します。