Фирма по кибербезопасности утверждает, что популярное приложение для записи экрана Android, которое набрало десятки тысяч загрузок в магазине приложений Google, затем начало шпионить за своими пользователями, включая кражу микрофонов, видеозаписей и других документов на телефоне пользователя.
Исследование ESET показало, что приложение для Android «iRecorder — Screen Recorder» представило вредоносный код в качестве обновления приложения почти через год после того, как оно впервые появилось в Google Play. Код, по словам ESET, позволял приложению каждые 15 минут незаметно загружать одну минуту окружающего звука с микрофона устройства, а также извлекать документы, веб-страницы и медиафайлы с телефона пользователя.
Приложение больше не указан в Google Play. Если вы установили приложение, вам необходимо удалить его со своего устройства. К моменту удаления вредоносного приложения из App Store его скачали более 50 000 раз.
ESET называет вредоносный код AhRat — модифицированной версией троянца удаленного доступа с открытым исходным кодом под названием AhMyth. Трояны удаленного доступа (или RAT) пользуются широким доступом к устройству жертвы и часто могут включать дистанционное управление, но также действуют аналогично шпионскому ПО и программному обеспечению для преследования.
Скриншот iRecorder, указанный в Google Play как кэшированный в Интернет-архиве в 2022 году. Авторы изображений: TechCrunch (скриншот)
Лукас Стефанко, исследователь безопасности в ESET, обнаруживший вредоносное ПО, говорится в сообщении в блоге что приложение iRecorder не содержало никаких вредоносных функций при запуске в сентябре 2021 года.
После того, как вредоносный код AhRat был отправлен в качестве обновления приложения существующим пользователям (и новым пользователям, которые загружают приложение непосредственно из Google Play), приложение начало скрытно получать доступ к микрофону пользователя и загружать данные телефона пользователя на сервер, контролируемый вредоносное ПО. оператор. Стефанко сказал, что запись звука «вписывается в уже определенную модель разрешений приложений», учитывая, что приложение изначально было разработано для захвата записей экрана устройства и будет запрашивать доступ к микрофону устройства.
Неясно, кто внедрил вредоносный код — разработчик или кто-то еще — и по какой причине. TechCrunch отправил электронное письмо на адрес электронной почты разработчика, который был в списке приложения до того, как оно было удалено, но до сих пор не получил ответа.
Стефанко сказал, что вредоносный код, вероятно, был частью более крупной шпионской кампании, когда хакеры работают над сбором информации о целях по своему выбору, иногда от имени правительств или по финансовым причинам. Он сказал, что «разработчик редко загружает законное приложение, ждет почти год, а затем обновляет его вредоносным кодом».
Плохие приложения нередко проникают в магазины приложений, и это не первый случай, когда AhMyth пробился в Google Play. Google и Apple проверяют приложения на наличие вредоносных программ, прежде чем размещать их в списке для загрузки, а иногда активно извлекают приложения, когда они могут подвергнуть пользователей риску. В прошлом году Google сказал он заблокировал вход в Google Play более 1,4 миллиона приложений, нарушающих конфиденциальность.
