ESET, một công ty an ninh mạng, đã cảnh báo rằng ứng dụng ghi màn hình Android phổ biến một thời, iRecorder — Screen Recorder, đã bí mật đánh cắp bản ghi micrô của người dùng và các dữ liệu khác từ điện thoại của họ. Hoạt động gián điệp bí mật này bắt đầu sau khi ứng dụng nhận được bản cập nhật mã độc, vài tháng sau khi được liệt kê lần đầu trên Google Play.
Trong quá trình điều tra, ESET đã phát hiện ra rằng ứng dụng iRecorder — Screen Recorder này đã thêm mã độc vào hệ thống của mình gần một năm sau khi lần đầu tiên được liệt kê trên Google Play. Mã này cho phép ứng dụng lặng lẽ tải lên âm thanh xung quanh có giá trị trong một phút từ micrô của thiết bị cứ sau 15 phút, đồng thời đánh cắp tài liệu, trang web và tệp phương tiện từ thiết bị của người dùng.
Ứng dụng đã tích lũy được hơn 50.000 lượt tải xuống trước khi bị xóa khỏi Google Play, không còn được liệt kê trên cửa hàng ứng dụng. Người dùng đã cài đặt ứng dụng này được khuyên nên xóa nó khỏi thiết bị của họ ngay lập tức.
Mã độc, được đặt tên là AhRat bởi ESET, là một phiên bản sửa đổi của trojan truy cập từ xa mã nguồn mở (RAT) có tên là AhMyth. RAT thường khai thác quyền truy cập rộng rãi vào thiết bị của nạn nhân và thường hoạt động theo cách tương tự như phần mềm gián điệp và phần mềm theo dõi. Những tính năng này bao gồm khả năng điều khiển từ xa.
Nhà nghiên cứu bảo mật của ESET, Lukas Stefanko, người đã phát hiện ra phần mềm độc hại, cho biết trong một bài đăng trên blog rằng ứng dụng iRecorder không chứa tính năng độc hại nào khi ra mắt lần đầu vào tháng 9 năm 2021. Mã AhRat độc hại đã được đẩy dưới dạng bản cập nhật ứng dụng cho người dùng hiện tại cũng như người dùng mới. người dùng đã tải xuống ứng dụng trực tiếp từ Google Play. Sau đó, ứng dụng bắt đầu bí mật truy cập micrô của người dùng và tải dữ liệu điện thoại của họ lên máy chủ do người điều hành phần mềm độc hại kiểm soát. Stefanko giải thích rằng bản ghi âm thanh nằm trong mô hình quyền của ứng dụng đã xác định vì ứng dụng, theo thiết kế, có thể ghi lại các bản ghi màn hình thiết bị và yêu cầu quyền truy cập micrô của thiết bị.
Danh tính của thủ phạm đã gieo mã độc và động cơ của họ khi làm như vậy vẫn chưa được biết. TechCrunch đã liên hệ với địa chỉ email của nhà phát triển, được liệt kê trong danh sách của ứng dụng trước khi bị xóa, nhưng cho đến nay vẫn chưa nhận được phản hồi.
Stefanko gợi ý rằng mã độc có khả năng là một phần của chiến dịch gián điệp rộng lớn hơn. Các hoạt động như vậy nhằm mục đích thu thập thông tin về các cá nhân hoặc tổ chức mục tiêu, thường là vì lợi ích chính trị hoặc tài chính. Stefanko lưu ý rằng việc một nhà phát triển tải lên một ứng dụng hợp pháp, đợi gần một năm rồi cập nhật mã độc là điều bất thường.
Mặc dù Google và Apple sàng lọc các ứng dụng để tìm phần mềm độc hại trước khi liệt kê chúng để tải xuống, nhưng không có gì lạ khi các ứng dụng có hại lọt qua quy trình này. Trong một số trường hợp, họ chủ động xóa các ứng dụng có thể khiến người dùng gặp rủi ro. Google đã báo cáo vào năm ngoái rằng họ đã ngăn hơn 1,4 triệu ứng dụng vi phạm quyền riêng tư tiếp cận Google Play. Mặc dù người dùng iRecorder — Screen Recorder gặp sự cố vi phạm bảo mật, nhưng người dùng của các nền tảng khác có thể xây dựng các ứng dụng an toàn mà không gặp rủi ro bằng cách sử dụng các công cụ như nền tảng không mã của AppMaster.io . AppMaster.io cho phép người dùng tạo các ứng dụng phụ trợ, web và di động với giao diện trực quan trực quan, đảm bảo quy trình phát triển ứng dụng an toàn và hiệu quả.