Популярное приложение для Android начало тайно шпионить за своими пользователями через несколько месяцев после того, как оно было одобрено в Google Play.
Фирма по кибербезопасности сообщает, что популярное приложение для записи экрана Android, которое набрало десятки тысяч загрузок в магазине приложений Google, начало шпионить за своими пользователями, в том числе путем кражи записей с микрофона и других документов с телефона пользователя.
Исследование ESET показало, что приложение для Android «iRecorder — Screen Recorder» представило вредоносный код в качестве обновления приложения почти через год после того, как оно впервые появилось в Google Play. Код, по словам ESET, позволял приложению каждые 15 минут незаметно загружать минутный фоновый звук с микрофона устройства, а также извлекать документы, веб-страницы и мультимедийные файлы с телефона пользователя.
Приложение больше не указан в Google Play. Если вы установили приложение, вы должны удалить его со своего устройства. К моменту удаления вредоносного приложения из магазина приложений его скачали более 50 000 раз.
ESET называет вредоносный код AhRat — специализированной версией трояна удаленного доступа с открытым исходным кодом под названием AhMyth. Трояны удаленного доступа (или RAT) используют преимущества широкого доступа к устройству жертвы и часто могут включать в себя удаленное управление, но также действуют аналогично программам-шпионам и программам-преследователям.
Скриншот iRecorder, указанный в Google Play, поскольку он был кэширован в Интернет-архиве в 2022 году. Кредиты изображений: TechCrunch (скриншот)
Лукас Стефанко, исследователь безопасности из ESET, обнаруживший вредоносное ПО, он сказал в блоге что приложение iRecorder не содержало никаких вредоносных функций при первом запуске в сентябре 2021 года.
Как только вредоносный код AhRat был отправлен в качестве обновления приложения существующим пользователям (и новым пользователям, которые загружают приложение непосредственно из Google Play), приложение начало скрытно получать доступ к микрофону пользователя и загружать данные телефона пользователя на сервер, контролируемый вредоносное ПО. оператор. Стефанко сказал, что аудиозапись «вписывается в уже определенную модель разрешений приложений», поскольку приложение по своей природе предназначено для захвата записей экрана устройства и запроса доступа к микрофону устройства.
Непонятно, кто внедрил вредоносный код — разработчик или кто-то другой — и по какой причине. TechCrunch отправил электронное письмо на адрес электронной почты разработчика, который был в списке приложения до того, как оно было удалено, но до сих пор не получил ответа.
Стефанко сказал, что вредоносный код, вероятно, является частью более широкой шпионской кампании, когда хакеры работают над сбором информации о выбранных ими целях — иногда от имени правительств или по финансовым мотивам. Он сказал, что «разработчик редко загружает законное приложение, ждет почти год, а затем обновляет его вредоносным кодом».
Плохие приложения нередко попадают в магазины приложений, и это не первый случай, когда AhMyth. он вжался в себя в Google Play. И Google, и Apple проверяют приложения на наличие вредоносного ПО, прежде чем размещать их в списке для загрузки, а иногда активно извлекают приложения, когда они могут подвергнуть пользователей риску. В прошлом году Google он сказал предотвратил доступ более 1,4 миллиона приложений, нарушающих конфиденциальность, в Google Play.
