ESET, firma zajmująca się cyberbezpieczeństwem, ostrzegła, że popularna niegdyś aplikacja do nagrywania ekranu na Androida, iRecorder - Screen Recorder, potajemnie kradnie nagrania mikrofonów użytkowników i inne dane z ich telefonów. Ta ukryta działalność szpiegowska rozpoczęła się po tym, jak aplikacja otrzymała aktualizację złośliwego kodu, kilka miesięcy po jej początkowym pojawieniu się w Google Play.
Podczas dochodzenia ESET odkrył, że aplikacja iRecorder - Screen Recorder dodała złośliwy kod do swojego systemu prawie rok po tym, jak po raz pierwszy pojawiła się w Google Play. Kod umożliwiał aplikacji ciche przesyłanie minutowego dźwięku z mikrofonu urządzenia co 15 minut, a także kradzież dokumentów, stron internetowych i plików multimedialnych z urządzeń użytkowników.
Aplikacja, która zgromadziła ponad 50 000 pobrań przed usunięciem z Google Play, nie jest już wymieniona w sklepie z aplikacjami. Użytkownikom, którzy zainstalowali aplikację, zaleca się natychmiastowe usunięcie jej ze swoich urządzeń.
Złośliwy kod, nazwany przez ESET AhRat, jest zmodyfikowaną wersją trojana zdalnego dostępu (RAT) o nazwie AhMyth. RAT-y zazwyczaj wykorzystują szeroki dostęp do urządzeń ofiar i często działają w sposób podobny do oprogramowania szpiegującego i stalkerware. Funkcje te obejmują możliwość zdalnego sterowania.
Badacz bezpieczeństwa ESET, Lukas Stefanko, który odkrył złośliwe oprogramowanie, powiedział w poście na blogu, że aplikacja iRecorder nie zawierała złośliwych funkcji, gdy została po raz pierwszy uruchomiona we wrześniu 2021 roku. Złośliwy kod AhRat został udostępniony jako aktualizacja aplikacji istniejącym użytkownikom, a także nowym użytkownikom, którzy pobrali aplikację bezpośrednio z Google Play. Następnie aplikacja zaczęła potajemnie uzyskiwać dostęp do mikrofonu użytkownika i przesyłać dane jego telefonu na serwer kontrolowany przez operatora złośliwego oprogramowania. Stefanko wyjaśnił, że nagrywanie dźwięku mieściło się w zdefiniowanym modelu uprawnień aplikacji, ponieważ aplikacja z założenia mogła przechwytywać nagrania ekranu urządzenia i żądać dostępu do mikrofonu urządzenia.
Tożsamość sprawcy, który umieścił złośliwy kod i jego motywy pozostają nieznane. TechCrunch skontaktował się z adresem e-mail dewelopera, który był wymieniony na liście aplikacji przed jej usunięciem, ale jak dotąd nie otrzymał odpowiedzi.
Stefanko zasugerował, że złośliwy kod jest prawdopodobnie częścią szerszej kampanii szpiegowskiej. Takie działania mają na celu gromadzenie informacji o docelowych osobach lub podmiotach, zwykle w celu uzyskania korzyści politycznych lub finansowych. Stefanko zauważył, że nietypowe jest, aby programista przesyłał legalną aplikację, czekał prawie rok, a następnie aktualizował ją złośliwym kodem.
Podczas gdy Google i Apple sprawdzają aplikacje pod kątem złośliwego oprogramowania przed umieszczeniem ich na liście do pobrania, nierzadko zdarza się, że szkodliwe aplikacje prześlizgują się przez ten proces. W niektórych przypadkach proaktywnie usuwają aplikacje, które mogą stanowić zagrożenie dla użytkowników. Google poinformowało w zeszłym roku, że zapobiegło przedostaniu się do Google Play ponad 1,4 miliona aplikacji naruszających prywatność. Podczas gdy użytkownicy iRecorder - Screen Recorder doświadczyli naruszenia bezpieczeństwa, użytkownicy innych platform mogą tworzyć bezpieczne aplikacje bez ryzyka, korzystając z narzędzi takich jak platforma bez kodu AppMaster.io. AppMaster.io umożliwia użytkownikom tworzenie aplikacji backendowych, internetowych i mobilnych za pomocą intuicyjnego interfejsu wizualnego, zapewniając bezpieczny i wydajny proces tworzenia aplikacji.
