O firmă de securitate cibernetică spune că o aplicație populară de înregistrare a ecranului pentru Android, care a acumulat zeci de mii de descărcări în magazinul de aplicații Google, a început ulterior să-și spioneze utilizatorii, inclusiv prin furtul de înregistrări de microfon și alte documente de pe telefonul utilizatorului.
Cercetările efectuate de ESET au descoperit că aplicația pentru Android, „iRecorder — Screen Recorder”, a introdus codul rău intenționat ca actualizare a aplicației la aproape un an după ce a fost listat pentru prima dată pe Google Play. Codul, conform ESET, a permis aplicației să încarce furtiv un minut de sunet ambiental de la microfonul dispozitivului la fiecare 15 minute, precum și să exfiltreze documente, pagini web și fișiere media de pe telefonul utilizatorului.
Aplicația nu mai este listată în Google Play. Dacă ați instalat aplicația, ar trebui să o ștergeți de pe dispozitiv. Până în momentul în care aplicația rău intenționată a fost scoasă din magazinul de aplicații, a acumulat peste 50.000 de descărcări.
ESET numește codul rău intenționat AhRat, o versiune personalizată a unui troian open source de acces la distanță numit AhMyth. Troienii cu acces de la distanță (sau RAT) profită de accesul larg la dispozitivul unei victime și pot include adesea control de la distanță, dar funcționează și în mod similar programelor spion și stalkerware.
Lukas Stefanko, un cercetător de securitate la ESET care a descoperit malware-ul, a declarat într-o postare pe blog că aplicația iRecorder nu conținea nicio caracteristică rău intenționată când a fost lansată pentru prima dată în septembrie 2021.
Odată ce codul rău intenționat AhRat a fost transmis ca actualizare a aplicației utilizatorilor existenți (și utilizatorilor noi care ar descărca aplicația direct de pe Google Play), aplicația a început să acceseze pe furiș microfonul utilizatorului și să încarce datele telefonului utilizatorului pe un server controlat de malware. Stefanko a spus că înregistrarea audio „se încadrează în modelul de permisiuni pentru aplicație deja definit”, având în vedere că aplicația a fost prin natură concepută pentru a capta înregistrările de ecran ale dispozitivului și ar cere să i se acorde acces la microfonul dispozitivului.
Nu este clar cine a plantat codul rău intenționat – dacă dezvoltatorul sau altcineva – sau din ce motiv.
Stefanko a spus că codul rău intenționat este probabil parte a unei campanii mai ample de spionaj – în care hackerii lucrează pentru a colecta informații despre țintele alese de ei – uneori în numele guvernelor sau din motive financiare. El a spus că este „rar ca un dezvoltator să încarce o aplicație legitimă, să aștepte aproape un an și apoi să o actualizeze cu cod rău intenționat”.
Nu este neobișnuit ca aplicațiile rele să se strecoare în magazinele de aplicații și nici nu este prima dată când AhMyth se strecoară în Google Play. Atât Google, cât și Apple scanează aplicațiile pentru malware înainte de a le lista pentru descărcare și uneori acționează în mod proactiv pentru a extrage aplicații atunci când ar putea pune utilizatorii în pericol. Anul trecut, Google a declarat că a împiedicat peste 1,4 milioane de aplicații care încalcă confidențialitatea să ajungă pe Google Play.
