Компания ESET, специализирующаяся на кибербезопасности, предупредила, что некогда популярное приложение для записи экрана на Android iRecorder - Screen Recorder тайно крадет записи с микрофона и другие данные с телефонов пользователей. Эта скрытая шпионская деятельность началась после того, как приложение получило обновление вредоносного кода, спустя несколько месяцев после его первоначального размещения в Google Play.
В ходе своего расследования ESET обнаружила, что приложение iRecorder - Screen Recorder добавило вредоносный код в свою систему почти через год после того, как оно было впервые размещено в Google Play. Код позволял приложению бесшумно загружать минутную аудиозапись с микрофона устройства каждые 15 минут, а также красть документы, веб-страницы и медиафайлы с устройств пользователей.
Приложение, которое успело набрать более 50 000 загрузок до удаления из Google Play, больше не представлено в магазине приложений. Пользователям, установившим приложение, рекомендовано немедленно удалить его со своего устройства.
Вредоносный код, названный компанией ESET AhRat, представляет собой модифицированную версию трояна удаленного доступа (RAT) с открытым исходным кодом под названием AhMyth. RAT обычно используют широкий доступ к устройствам жертв и часто функционируют подобно шпионским и преследовательским программам. Эти функции включают в себя возможности удаленного управления.
Исследователь безопасности ESET Лукас Стефанко, обнаруживший вредоносную программу, сообщил в своем блоге, что приложение iRecorder не содержало вредоносных функций, когда оно было впервые запущено в сентябре 2021 года. Вредоносный код AhRat был распространен в виде обновления приложения среди существующих пользователей, а также среди новых пользователей, которые загружали приложение непосредственно из Google Play. После этого приложение начинало тайно получать доступ к микрофону пользователя и загружать данные его телефона на сервер, контролируемый оператором вредоносной программы. Стефанко пояснил, что аудиозапись осуществлялась в рамках определенной модели разрешений приложения, поскольку приложение по своей конструкции могло делать записи экрана устройства и запрашивать доступ к микрофону устройства.
Личность злоумышленника, установившего вредоносный код, и его мотивы остаются неизвестными. TechCrunch связался с разработчиком по адресу электронной почты, который был указан в листинге приложения до его удаления, но пока не получил ответа.
Стефанко предположил, что вредоносный код, скорее всего, является частью более широкой кампании по шпионажу. Такая деятельность направлена на сбор информации о целевых физических или юридических лицах, обычно для получения политической или финансовой выгоды. Стефанко отметил, что необычно для разработчика загружать легитимное приложение, ждать почти год, а затем обновлять его вредоносным кодом.
Хотя Google и Apple проверяют приложения на наличие вредоносных программ, прежде чем поместить их в список для загрузки, нередко вредоносные приложения проскальзывают через этот процесс. В некоторых случаях они активно удаляют приложения, которые могут подвергать пользователей риску. В прошлом году компания Google сообщила, что предотвратила попадание в Google Play более 1,4 миллиона приложений, нарушающих конфиденциальность. В то время как пользователи iRecorder - Screen Recorder столкнулись с нарушением безопасности, пользователи других платформ могут создавать безопасные приложения без риска, используя такие инструменты, как no-code платформа AppMaster.io. AppMaster.io позволяет пользователям создавать бэкенд, веб- и мобильные приложения с помощью интуитивно понятного визуального интерфейса, обеспечивая безопасный и эффективный процесс разработки приложений.