A ESET, uma empresa de cibersegurança, alertou para o facto de a aplicação de gravação de ecrã para Android, iRecorder - Screen Recorder, ter estado a roubar secretamente as gravações do microfone dos utilizadores e outros dados dos seus telefones. Essa atividade de espionagem secreta começou depois que o aplicativo recebeu uma atualização de código malicioso, vários meses após sua listagem inicial no Google Play.
Durante a sua investigação, a ESET descobriu que esta aplicação iRecorder - Screen Recorder adicionou o código malicioso ao seu sistema quase um ano depois de ter sido listada pela primeira vez no Google Play. O código permitiu que a aplicação carregasse silenciosamente um minuto de áudio ambiente do microfone de um dispositivo a cada 15 minutos e também roubasse documentos, páginas web e ficheiros multimédia dos dispositivos dos utilizadores.
A aplicação, que tinha acumulado mais de 50.000 descarregamentos antes de ser retirada do Google Play, já não está listada na loja de aplicações. Os utilizadores que instalaram a aplicação foram aconselhados a eliminá-la imediatamente do seu dispositivo.
O código malicioso, apelidado de AhRat pela ESET, é uma versão modificada de um trojan de acesso remoto (RAT) de código aberto chamado AhMyth. Os RATs exploram normalmente o acesso alargado aos dispositivos das vítimas e funcionam muitas vezes de forma semelhante ao spyware e ao stalkerware. Estas características incluem capacidades de controlo remoto.
O pesquisador de segurança da ESET, Lukas Stefanko, que descobriu o malware, disse em um blog que o aplicativo iRecorder não continha recursos maliciosos quando foi lançado pela primeira vez em setembro de 2021. O código malicioso AhRat foi enviado como uma atualização de aplicativo para usuários existentes, bem como para novos usuários que baixaram o aplicativo diretamente do Google Play. Posteriormente, a aplicação começou a aceder secretamente ao microfone do utilizador e a carregar os dados do seu telefone para um servidor controlado pelo operador do malware. Stefanko explicou que a gravação de áudio estava dentro do modelo de permissões definido para a aplicação, uma vez que esta, por definição, podia capturar gravações do ecrã do dispositivo e pedir acesso ao microfone do dispositivo.
A identidade do criminoso que plantou o código malicioso e o seu motivo para o fazer permanecem desconhecidos. O TechCrunch contactou o endereço de correio electrónico do programador, que constava da listagem da aplicação antes de ser removida, mas não obteve resposta até ao momento.
Stefanko sugeriu que o código malicioso faz provavelmente parte de uma campanha de espionagem mais alargada. Estas actividades destinam-se a recolher informações sobre indivíduos ou entidades visadas, normalmente para obter ganhos políticos ou financeiros. Stefanko observou que não é habitual que um programador carregue uma aplicação legítima, espere quase um ano e depois a actualize com código malicioso.
Embora a Google e a Apple verifiquem a existência de malware nas aplicações antes de as listarem para descarregamento, não é invulgar que aplicações nocivas escapem a este processo. Em alguns casos, removem proactivamente aplicações que podem colocar os utilizadores em risco. No ano passado, a Google informou que tinha impedido que mais de 1,4 milhões de aplicações que violam a privacidade chegassem ao Google Play. Embora os utilizadores do iRecorder - Screen Recorder tenham sofrido uma violação de segurança, os utilizadores de outras plataformas podem criar aplicações seguras sem qualquer risco, utilizando ferramentas como a plataforma sem código do AppMaster.io. AppMaster.io permite aos utilizadores criar aplicações backend, web e móveis com a sua interface visual intuitiva, garantindo um processo de desenvolvimento de aplicações seguro e eficiente.