사이버 보안 회사인 ESET은 한때 인기 있었던 Android 화면 녹화 앱인 iRecorder — Screen Recorder 휴대폰에서 사용자의 마이크 녹음 및 기타 데이터를 비밀리에 훔치고 있다고 경고했습니다. 이 은밀한 스파이 활동은 애플리케이션이 Google Play에 처음 등록된 지 몇 달 후 악성 코드 업데이트를 받은 후 시작되었습니다.
ESET은 조사 과정에서 이 iRecorder — Screen Recorder 앱이 Google Play에 처음 등록된 지 거의 1년 만에 시스템에 악성 코드를 추가했음을 발견했습니다. 이 코드를 통해 앱은 15분마다 장치 마이크에서 1분 분량의 주변 오디오를 조용히 업로드하고 사용자 장치에서 문서, 웹 페이지 및 미디어 파일을 훔칠 수 있었습니다.
Google Play에서 삭제되기 전까지 누적 다운로드 수가 50,000회 이상이었던 이 앱은 더 이상 앱 스토어에 등록되지 않습니다. 앱을 설치한 사용자는 기기에서 즉시 앱을 삭제하도록 안내받았습니다.
ESET에서 AhRat이라고 명명한 이 악성 코드는 AhMyth라는 오픈 소스 RAT(원격 액세스 트로이 목마)의 수정된 버전입니다. RAT는 일반적으로 피해자의 장치에 대한 광범위한 액세스를 악용하며 종종 스파이웨어 및 스토커웨어와 유사한 방식으로 작동합니다. 이러한 기능에는 원격 제어 기능이 포함됩니다.
이 악성코드를 발견한 ESET 보안 연구원 Lukas Stefanko는 블로그 게시물에서 iRecorder 앱이 2021년 9월 처음 출시되었을 때 악성 기능이 포함되어 있지 않았다고 밝혔습니다. 악성 AhRat 코드는 기존 사용자뿐만 아니라 새로운 앱 업데이트로 푸시되었습니다. Google Play에서 직접 앱을 다운로드한 사용자 그 후, 이 앱은 비밀리에 사용자의 마이크에 액세스하고 전화 데이터를 맬웨어 운영자가 제어하는 서버에 업로드하기 시작했습니다. Stefanko는 앱이 설계상 장치 화면 녹음을 캡처하고 장치 마이크 액세스를 요청할 수 있기 때문에 오디오 녹음이 정의된 앱 권한 모델 내에 있다고 설명했습니다.
악성코드를 심은 가해자의 신원과 동기는 아직 알려지지 않았다. TechCrunch는 앱이 제거되기 전에 목록에 올라온 개발자의 이메일 주소에 연락했지만 지금까지 응답을 받지 못했습니다.
Stefanko는 악성 코드가 더 광범위한 스파이 캠페인의 일부일 가능성이 있다고 제안했습니다. 이러한 활동은 일반적으로 정치적 또는 재정적 이익을 위해 대상 개인 또는 단체에 대한 정보를 수집하는 것을 목표로 합니다. Stefanko는 개발자가 합법적인 앱을 업로드하고 거의 1년을 기다린 다음 악성 코드로 업데이트하는 것은 드문 일이라고 말했습니다.
Google과 Apple은 다운로드 목록에 추가하기 전에 앱에 맬웨어가 있는지 검사하지만 유해한 앱이 이 프로세스를 통과하는 것은 드문 일이 아닙니다. 경우에 따라 사용자를 위험에 빠뜨릴 수 있는 앱을 사전에 제거합니다. Google은 작년에 140만 개 이상의 개인 정보를 침해하는 앱이 Google Play에 도달하는 것을 막았다고 보고했습니다. iRecorder — Screen Recorder 의 사용자는 보안 침해를 경험했지만 다른 플랫폼 사용자는 AppMaster.io의 코드 없는 플랫폼 과 같은 도구를 사용하여 위험 없이 안전한 애플리케이션을 구축할 수 있습니다. AppMaster.io는 사용자가 직관적인 시각적 인터페이스로 백엔드, 웹 및 모바일 애플리케이션을 생성할 수 있도록 하여 안전하고 효율적인 애플리케이션 개발 프로세스를 보장합니다.
