Kredyty obrazkowe: Bryce’a Durbina / TechCrunch

Firma zajmująca się cyberbezpieczeństwem twierdzi, że popularna aplikacja do nagrywania ekranu na Androida, która zgromadziła dziesiątki tysięcy pobrań w sklepie z aplikacjami Google, zaczęła następnie szpiegować swoich użytkowników, w tym kradnąc nagrania z mikrofonu i inne dokumenty z telefonu użytkownika.

Badanie przeprowadzone przez firmę ESET wykazało, że aplikacja na Androida „iRecorder — Screen Recorder” wprowadziła szkodliwy kod jako aktualizację aplikacji prawie rok po tym, jak po raz pierwszy pojawiła się w Google Play. Kod, według ESET, pozwalał aplikacji potajemnie przesyłać minutę dźwięku otoczenia z mikrofonu urządzenia co 15 minut, a także eksfiltrować dokumenty, strony internetowe i pliki multimedialne z telefonu użytkownika.

Aplikacja nie jest już wyświetlana w Google Play. Jeśli masz zainstalowaną aplikację, powinieneś usunąć ją ze swojego urządzenia. Zanim złośliwa aplikacja została usunięta ze sklepu z aplikacjami, zebrała ponad 50 000 pobrań.

Firma ESET nazywa złośliwy kod AhRat, dostosowaną wersją trojana zdalnego dostępu o otwartym kodzie źródłowym o nazwie AhMyth. Trojany zdalnego dostępu (lub RAT) wykorzystują szeroki dostęp do urządzenia ofiary i często mogą obejmować zdalne sterowanie, ale działają również podobnie do programów szpiegujących i stalkerware.

Zrzut ekranu programu iRecorder wymienionego w Google Play, tak jak był przechowywany w pamięci podręcznej w archiwum internetowym w 2022 r. Kredyty obrazkowe: TechCrunch (zrzut ekranu)

Lukas Stefanko, badacz bezpieczeństwa w ESET, który odkrył złośliwe oprogramowanie, powiedział w poście na blogu, że aplikacja iRecorder nie zawierała złośliwych funkcji, kiedy została po raz pierwszy uruchomiona we wrześniu 2021 r.

Po przekazaniu złośliwego kodu AhRat jako aktualizacji aplikacji obecnym użytkownikom (oraz nowym użytkownikom, którzy pobrali aplikację bezpośrednio z Google Play), aplikacja zaczęła potajemnie uzyskiwać dostęp do mikrofonu użytkownika i przesyłać dane telefonu użytkownika na serwer kontrolowany przez złośliwe oprogramowanie. operator. Stefanko powiedział, że nagranie audio „pasuje do już zdefiniowanego modelu uprawnień aplikacji”, biorąc pod uwagę, że aplikacja została z natury zaprojektowana do przechwytywania nagrań ekranu urządzenia i prosi o przyznanie dostępu do mikrofonu urządzenia.

Nie jest jasne, kto umieścił szkodliwy kod — czy to programista, czy ktoś inny — ani z jakiego powodu. TechCrunch wysłał e-mail na adres e-mail programisty, który znajdował się na liście aplikacji przed jej ściągnięciem, ale jeszcze nie otrzymał odpowiedzi.

Stefanko powiedział, że złośliwy kod jest prawdopodobnie częścią szerszej kampanii szpiegowskiej – w której hakerzy pracują nad zbieraniem informacji o wybranych przez siebie celach – czasami w imieniu rządów lub z powodów finansowych. Powiedział, że „rzadko zdarza się, aby programista przesyłał legalną aplikację, czekał prawie rok, a następnie aktualizował ją złośliwym kodem”.

Nierzadko zdarza się, że złe aplikacje wślizgują się do sklepów z aplikacjami, nie jest to też pierwszy raz, kiedy AhMyth wkrada się do Google Play. Zarówno Google, jak i Apple sprawdzają aplikacje pod kątem złośliwego oprogramowania przed wystawieniem ich do pobrania, a czasami działają proaktywnie, aby pobierać aplikacje, gdy mogą narazić użytkowników na ryzyko. W zeszłym roku Google powiedział, że uniemożliwił dostęp do Google Play ponad 1,4 miliona aplikacji naruszających prywatność.