ESET, een cyberbeveiligingsbedrijf, heeft gewaarschuwd dat de eens zo populaire Android-app iRecorder - Screen Recorder in het geheim opnames van de microfoon en andere gegevens van gebruikers van hun telefoons heeft gestolen. Deze heimelijke spionageactiviteit begon nadat de applicatie een update met kwaadaardige code had ontvangen, enkele maanden na de eerste notering op Google Play.
Tijdens haar onderzoek ontdekte ESET dat deze iRecorder - Screen Recorder app de kwaadaardige code bijna een jaar na haar eerste notering op Google Play aan haar systeem toevoegde. De code stelde de app in staat om elke 15 minuten stilletjes een minuut aan omgevingsgeluid van de microfoon van een apparaat te uploaden en ook documenten, webpagina's en mediabestanden van de apparaten van gebruikers te stelen.
De app, die meer dan 50.000 downloads had verzameld voordat hij uit Google Play werd verwijderd, staat niet langer in de app store. Gebruikers die de app hebben geïnstalleerd wordt geadviseerd deze onmiddellijk van hun apparaat te verwijderen.
De kwaadaardige code, door ESET AhRat genoemd, is een aangepaste versie van een open-source remote access trojan (RAT) genaamd AhMyth. RAT's maken meestal gebruik van brede toegang tot de apparaten van slachtoffers, en functioneren vaak op een manier die vergelijkbaar is met spyware en stalkerware. Deze functies omvatten remote control mogelijkheden.
ESET beveiligingsonderzoeker Lukas Stefanko, die de malware ontdekte, zei in een blogpost dat de iRecorder app geen schadelijke functies bevatte toen deze voor het eerst werd gelanceerd in september 2021. De schadelijke AhRat-code werd als een app-update naar bestaande gebruikers geduwd, evenals naar nieuwe gebruikers die de app rechtstreeks van Google Play downloadden. Vervolgens begon de app heimelijk toegang te krijgen tot de microfoon van de gebruiker en hun telefoongegevens te uploaden naar een server die door de exploitant van de malware werd gecontroleerd. Stefanko legde uit dat de geluidsopname binnen het gedefinieerde toestemmingsmodel van de app viel, aangezien de app volgens het ontwerp schermopnames van het apparaat kon maken en toegang tot de microfoon van het apparaat kon vragen.
De identiteit van de dader die de kwaadaardige code heeft geplaatst en zijn motief om dit te doen, blijft onbekend. TechCrunch heeft contact opgenomen met het e-mailadres van de ontwikkelaar, dat werd vermeld op de lijst van de app voordat deze werd verwijderd, maar heeft nog geen reactie ontvangen.
Stefanko suggereerde dat de kwaadaardige code waarschijnlijk deel uitmaakt van een bredere spionagecampagne. Dergelijke activiteiten zijn gericht op het verzamelen van informatie over gerichte personen of entiteiten, meestal voor politiek of financieel gewin. Stefanko merkte op dat het ongebruikelijk is dat een ontwikkelaar een legitieme app uploadt, bijna een jaar wacht en deze vervolgens bijwerkt met kwaadaardige code.
Hoewel Google en Apple apps screenen op malware voordat ze in de downloadlijst worden opgenomen, is het niet ongewoon dat schadelijke apps door dit proces heen glippen. In sommige gevallen verwijderen ze proactief apps die gebruikers in gevaar kunnen brengen. Google meldde vorig jaar dat het had voorkomen dat meer dan 1,4 miljoen privacyschendende apps Google Play bereikten. Terwijl de gebruikers van iRecorder - Screen Recorder een beveiligingslek ondervonden, kunnen gebruikers van andere platforms veilige applicaties bouwen zonder risico met behulp van tools zoals het no-code platform van AppMaster.io. AppMaster Met .io kunnen gebruikers backend-, web- en mobiele applicaties maken met zijn intuïtieve visuele interface, waardoor een veilig en efficiënt applicatieontwikkelingsproces wordt gegarandeerd.