Co musisz wiedzieć
- Legalna aplikacja do nagrywania ekranu w Sklepie Play okazała się być oprogramowaniem szpiegującym po otrzymaniu złośliwej aktualizacji.
- Znaleziono aplikację do nagrywania ekranu iRecorder, która co 15 minut nagrywa dźwięk i wysyła dane do zdalnych serwerów.
- Badacz bezpieczeństwa zwrócił uwagę Google na złośliwą aktywność aplikacji, co spowodowało usunięcie aplikacji ze Sklepu Play.
Aplikacja do nagrywania ekranu, która wydawała się niewinna podczas pierwszego roku w Sklepie Play, ewoluowała w spyware, potajemnie rejestrując użytkowników co 15 minut i wysyłając dane dźwiękowe do programisty serwer.
Ta szkodliwa aktywność została udokumentowana przez badacza firmy ESET, Lukasa Stefanko, który napisał w post na blogu (przez Ars Technica), że ponad 50 000 osób pobrało aplikację znaną jako iRecorder – Screen Recorder. Aplikacja, która została zaprojektowana do nagrywania ekranu urządzenia, została zarejestrowana w Sklepie Play 19 września 2021 r. i działała normalnie, jak każda inna aplikacja.
Jednak po otrzymaniu aktualizacji w sierpniu 2022 r. (wersja 1.3.8) aplikacja zyskała złośliwe funkcje, które uczyniły ją zagrożeniem dla użytkowników. Wyglądało na to, że aktualizacja przemyciła jakiś niestandardowy szkodliwy kod oparty na otwartym kodzie źródłowym AhMyth Android RAT (trojan zdalnego dostępu), który później został nazwany AhRat.
Firma ESET natychmiast poinformowała Google o swoich ustaleniach, a aplikacja iRecorder została usunięta z Google Play. Z drugiej strony trojanizowana aplikacja nadal stanowi poważne zagrożenie dla tych, którzy ją posiadają zainstalowany na ich telefonach, ponieważ zapewnia dostęp do plików i umożliwia nagrywanie dźwięku bez ich posiadania wiedza.
Według ESET aplikacja wyodrębnia nagrania z mikrofonu i kradnie pliki z określonymi rozszerzeniami dla zapisanych stron internetowych, obrazów, audio, wideo i dokumentów. Pliki te zostały następnie przesłane do serwera dowodzenia i kontroli.
Firma zajmująca się bezpieczeństwem zauważyła, że ta szkodliwa aktywność może zawierać ślady kampanii szpiegowskiej, chociaż dodała, że „nie była w stanie przypisać aplikacji do żadnej konkretnej złośliwej grupy”.
Na szczęście Google wprowadził już szereg środków w celu zwalczania tych złośliwych działań od czasu Androida 11. Ta funkcja bezpieczeństwa hibernuje aplikacje, które były nieaktywne przez kilka miesięcy, resetując ich uprawnienia w czasie wykonywania. Ponadto, Aktualizacje zabezpieczeń Google dla Androida teraz ostrzegaj o ewentualnych nieprawidłowych praktykach udostępniania danych w aplikacji, wysyłając comiesięczne powiadomienie. Niektóre z naszych ulubione aplikacje zabezpieczające są również wyposażone w funkcje powstrzymujące ataki złośliwego oprogramowania.