Que souhaitez-vous savoir
- Une application d'enregistrement d'écran légitime sur le Play Store s'est avérée être un logiciel espion après avoir reçu une mise à jour malveillante.
- L'application d'enregistrement d'écran iRecorder a été trouvée en train d'enregistrer de l'audio et d'envoyer des données à des serveurs distants toutes les 15 minutes.
- Un chercheur en sécurité a porté l'activité malveillante de l'application à l'attention de Google, ce qui a entraîné la suppression de l'application du Play Store.
Une application d'enregistrement d'écran qui semblait innocente lors de sa première année sur le Play Store a évolué dans les logiciels espions, enregistrant secrètement les utilisateurs toutes les 15 minutes et envoyant des données audio au développeur serveur.
Cette activité malveillante a été documentée par le chercheur d'ESET, Lukas Stefanko, qui a écrit dans un article de blog (via Ars Technica) que plus de 50 000 personnes avaient téléchargé l'application connue sous le nom d'iRecorder - Screen Recorder. L'application, qui a été conçue pour enregistrer l'écran d'un appareil, a été inscrite sur le Play Store le 19 septembre 2021 et fonctionnait normalement comme n'importe quelle autre application.
Cependant, après avoir reçu une mise à jour en août 2022 (version 1.3.8), l'application a acquis des fonctionnalités malveillantes qui en ont fait une menace pour les utilisateurs. Il est apparu que la mise à jour s'était faufilée dans un code malveillant personnalisé basé sur le RAT Android AhMyth open source (cheval de Troie d'accès à distance), qui a ensuite été nommé AhRat.
ESET a immédiatement informé Google de ses découvertes et l'application iRecorder a depuis été supprimée de Google Play. L'application cheval de Troie, d'autre part, continue de représenter une menace sérieuse pour ceux qui l'ont installé sur leurs téléphones, car il donne accès aux fichiers et permet l'enregistrement audio sans leur connaissance.
Selon ESET, l'application extrait les enregistrements du microphone et vole des fichiers avec des extensions spécifiques pour les pages Web, les images, l'audio, la vidéo et les documents enregistrés. Ces fichiers étaient ensuite transmis à un serveur de commande et de contrôle.
La société de sécurité a noté que cette activité malveillante a des traces potentielles d'une campagne d'espionnage, bien qu'elle ait ajouté qu'elle n'était pas "capable d'attribuer l'application à un groupe malveillant particulier".
Heureusement, Google a déjà mis en place un certain nombre de mesures pour lutter contre ces actions malveillantes depuis Android 11. Cette fonctionnalité de sécurité met en veille les applications inactives depuis plusieurs mois, réinitialisant leurs autorisations d'exécution. En outre, Mises à jour de sécurité Android de Google vous avertit désormais des pratiques irrégulières de partage de données d'une application, le cas échéant, via une notification mensuelle. Certains de nos applications de sécurité préférées sont également équipés de fonctionnalités pour arrêter les attaques de logiciels malveillants.