Što trebaš znati
- Ispostavilo se da je legitimna aplikacija za snimanje zaslona u Trgovini Play špijunski softver nakon što je primila zlonamjerno ažuriranje.
- Otkriveno je da aplikacija za snimanje zaslona iRecorder snima zvuk i šalje podatke na udaljene poslužitelje svakih 15 minuta.
- Sigurnosni istraživač skrenuo je pozornost Googleu na zlonamjernu aktivnost aplikacije, što je rezultiralo uklanjanjem aplikacije iz Trgovine Play.
Aplikacija za snimanje zaslona koja se činila nevinom tijekom prve godine u Trgovini Play razvila se u špijunski softver, tajno snimajući korisnike svakih 15 minuta i šaljući audio podatke razvojnom programeru poslužitelj.
Ovu zlonamjernu aktivnost dokumentirao je ESET-ov istraživač Lukas Stefanko, koji je napisao u a post na blogu (preko Ars Technica) da je više od 50.000 ljudi preuzelo aplikaciju poznatu kao iRecorder – Screen Recorder. Aplikacija, koja je dizajnirana za snimanje zaslona uređaja, uvrštena je u Trgovinu Play 19. rujna 2021. i radila je normalno kao i svaka druga aplikacija.
Međutim, nakon što je primila ažuriranje u kolovozu 2022. (verzija 1.3.8), aplikacija je dobila zlonamjerne značajke koje su je učinile prijetnjom korisnicima. Činilo se da se ažuriranje ušuljalo u neki prilagođeni zlonamjerni kod temeljen na AhMyth Android RAT otvorenog koda (trojanac za udaljeni pristup), koji je kasnije nazvan AhRat.
ESET je odmah obavijestio Google o svojim nalazima, a aplikacija iRecorder u međuvremenu je uklonjena s Google Playa. Trojanizirana aplikacija, s druge strane, i dalje predstavlja ozbiljnu prijetnju onima koji je imaju instalirati na njihove telefone, jer omogućuje pristup datotekama i omogućuje snimanje zvuka bez njihovog znanje.
Prema ESET-u, aplikacija izvlači snimke mikrofona i krade datoteke s određenim ekstenzijama za spremljene web stranice, slike, audio, video i dokumente. Te su datoteke zatim poslane na naredbeni i kontrolni poslužitelj.
Sigurnosna tvrtka primijetila je da ova zlonamjerna aktivnost ima potencijalne tragove špijunske kampanje, iako je dodala da nije "u mogućnosti pripisati aplikaciju nijednoj određenoj zlonamjernoj skupini".
Srećom, Google je već uveo brojne mjere za borbu protiv ovih zlonamjernih radnji od Androida 11. Ova sigurnosna značajka hibernira aplikacije koje su bile neaktivne nekoliko mjeseci, poništavajući njihova dopuštenja za vrijeme izvođenja. U Dodatku, Googleova sigurnosna ažuriranja za Android sada vas upozoravaju na nepravilne prakse dijeljenja podataka aplikacije, ako postoje, putem mjesečne obavijesti. Neki od naših omiljene sigurnosne aplikacije također su opremljeni značajkama za zaustavljanje napada zlonamjernog softvera.