ESET บริษัทด้านความปลอดภัยทางไซเบอร์ได้เตือนว่า iRecorder — Screen Recorder แอพบันทึกหน้าจอ Android ที่ครั้งหนึ่งเคยเป็นที่นิยม ได้แอบขโมยการบันทึกไมโครโฟนของผู้ใช้และข้อมูลอื่น ๆ จากโทรศัพท์ของพวกเขา กิจกรรมการสอดแนมแอบแฝงนี้เริ่มขึ้นหลังจากที่แอปพลิเคชันได้รับการอัปเดตรหัสที่เป็นอันตราย หลายเดือนหลังจากรายการเริ่มต้นบน Google Play
ในระหว่างการสืบสวน ESET พบว่าแอป iRecorder — Screen Recorder ได้เพิ่มรหัสที่เป็นอันตรายลงในระบบเกือบหนึ่งปีหลังจากที่แสดงรายการบน Google Play เป็นครั้งแรก โค้ดดังกล่าวทำให้แอปสามารถอัปโหลดเสียงรอบข้างเป็นเวลา 1 นาทีอย่างเงียบ ๆ จากไมโครโฟนของอุปกรณ์ทุก ๆ 15 นาที และยังขโมยเอกสาร เว็บเพจ และไฟล์มีเดียจากอุปกรณ์ของผู้ใช้อีกด้วย
แอปที่มีการดาวน์โหลดมากกว่า 50,000 ครั้งก่อนที่จะถูกลบออกจาก Google Play นั้นไม่ปรากฏอยู่ใน App Store อีกต่อไป ผู้ใช้ที่ติดตั้งแอปนี้ได้รับคำแนะนำให้ลบออกจากอุปกรณ์ทันที
โค้ดอันตรายที่มีชื่อว่า AhRat โดย ESET เป็นเวอร์ชันแก้ไขของโทรจันการเข้าถึงระยะไกลแบบโอเพ่นซอร์ส (RAT) ที่เรียกว่า AhMyth โดยทั่วไปแล้ว RATs จะใช้ประโยชน์จากการเข้าถึงอุปกรณ์ของเหยื่อในวงกว้าง และมักจะทำงานในลักษณะที่คล้ายกับสปายแวร์และสตอลเกอร์แวร์ คุณสมบัติเหล่านี้รวมถึงความสามารถในการควบคุมระยะไกล
Lukas Stefanko นักวิจัยด้านความปลอดภัยของ ESET ผู้ค้นพบมัลแวร์กล่าวในบล็อกโพสต์ว่าแอป iRecorder ไม่มีฟีเจอร์ที่เป็นอันตรายเมื่อเปิดตัวครั้งแรกในเดือนกันยายน 2021 โค้ด AhRat ที่เป็นอันตรายถูกพุชเป็นการอัปเดตแอปไปยังผู้ใช้ที่มีอยู่แล้ว เช่นเดียวกับใหม่ ผู้ใช้ที่ดาวน์โหลดแอปโดยตรงจาก Google Play ต่อจากนั้น แอปเริ่มแอบเข้าถึงไมโครโฟนของผู้ใช้และอัปโหลดข้อมูลโทรศัพท์ไปยังเซิร์ฟเวอร์ที่ควบคุมโดยโอเปอเรเตอร์ของมัลแวร์ Stefanko อธิบายว่าการบันทึกเสียงอยู่ในรูปแบบการอนุญาตแอปที่กำหนดไว้ เนื่องจากการออกแบบแอปสามารถจับภาพการบันทึกหน้าจออุปกรณ์และขอการเข้าถึงไมโครโฟนของอุปกรณ์ได้
ตัวตนของผู้กระทำความผิดที่วางรหัสที่เป็นอันตรายและแรงจูงใจในการทำเช่นนั้นยังไม่ทราบ TechCrunch ติดต่อไปยังที่อยู่อีเมลของนักพัฒนาซึ่งแสดงอยู่ในรายการของแอปก่อนที่จะถูกลบ แต่จนถึงตอนนี้ยังไม่ได้รับการตอบกลับ
Stefanko แนะนำว่ารหัสที่เป็นอันตรายน่าจะเป็นส่วนหนึ่งของแคมเปญจารกรรมในวงกว้าง กิจกรรมดังกล่าวมีวัตถุประสงค์เพื่อรวบรวมข้อมูลเกี่ยวกับบุคคลหรือหน่วยงานที่เป็นเป้าหมาย โดยปกติแล้วจะเป็นไปเพื่อผลประโยชน์ทางการเมืองหรือทางการเงิน Stefanko ตั้งข้อสังเกตว่าเป็นเรื่องปกติที่นักพัฒนาจะอัปโหลดแอปที่ถูกกฎหมาย รอเกือบหนึ่งปี แล้วจึงอัปเดตด้วยรหัสที่เป็นอันตราย
แม้ว่า Google และ Apple จะคัดกรองแอปเพื่อหามัลแวร์ก่อนที่จะลงรายการให้ดาวน์โหลด แต่ก็ไม่ใช่เรื่องแปลกที่แอปที่เป็นอันตรายจะหลุดผ่านขั้นตอนนี้ ในบางกรณี พวกเขาจะลบแอปที่อาจทำให้ผู้ใช้ตกอยู่ในความเสี่ยง Google รายงานเมื่อปีที่แล้วว่าได้ป้องกันแอปที่ละเมิดความเป็นส่วนตัวกว่า 1.4 ล้านแอปไม่ให้เข้าถึง Google Play ในขณะที่ผู้ใช้ iRecorder — Screen Recorder ประสบกับการละเมิดความปลอดภัย ผู้ใช้แพลตฟอร์มอื่นสามารถสร้างแอปพลิเคชันที่ปลอดภัยโดยไม่มีความเสี่ยงโดยใช้เครื่องมือ เช่น แพลตฟอร์มแบบไม่มีโค้ดของ AppMaster.io AppMaster.io ช่วยให้ผู้ใช้สามารถสร้างแอปพลิเคชันแบ็กเอนด์ เว็บ และมือถือด้วยอินเทอร์เฟสภาพที่ใช้งานง่าย ทำให้มั่นใจได้ถึงกระบวนการพัฒนาแอปพลิเคชันที่ปลอดภัยและมีประสิทธิภาพ