Ce trebuie sa stii
- O aplicație legitimă de înregistrare a ecranului din Magazinul Play s-a dovedit a fi un program spion după ce a primit o actualizare rău intenționată.
- Aplicația de înregistrare a ecranului iRecorder a fost găsită înregistrând sunet și trimițând date către servere la distanță la fiecare 15 minute.
- Un cercetător de securitate a adus în atenția Google activitatea rău intenționată a aplicației, ceea ce a dus la eliminarea aplicației din Magazinul Play.
O aplicație de înregistrare a ecranului care părea nevinovată în primul an pe Play Store a evoluat în spyware, înregistrând în secret utilizatorii la fiecare 15 minute și trimițând date audio către dezvoltatori Server.
Această activitate rău intenționată a fost documentată de cercetătorul ESET Lukas Stefanko, care a scris într-un postare pe blog (prin intermediul Ars Technica) că peste 50.000 de persoane au descărcat aplicația cunoscută sub numele de iRecorder – Screen Recorder. Aplicația, care a fost concepută pentru a înregistra ecranul unui dispozitiv, a fost înscrisă pe Play Store pe 19 septembrie 2021 și a funcționat în mod normal ca orice altă aplicație.
Cu toate acestea, după ce a primit o actualizare în august 2022 (versiunea 1.3.8), aplicația a câștigat funcții rău intenționate care au făcut-o o amenințare pentru utilizatori. Se pare că actualizarea s-a strecurat într-un cod rău intenționat personalizat bazat pe sursa deschisă AhMyth Android RAT (troian de acces la distanță), care a fost ulterior numit AhRat.
ESET a informat imediat Google despre constatările sale, iar aplicația iRecorder a fost eliminată de pe Google Play. Aplicația troianizată, pe de altă parte, continuă să reprezinte o amenințare serioasă pentru cei care o au instalat pe telefoanele lor, deoarece acordă acces la fișiere și permite înregistrarea audio fără acestea cunoştinţe.
Potrivit ESET, aplicația extrage înregistrările microfonului și fură fișiere cu extensii specifice pentru pagini web salvate, imagini, audio, video și documente. Aceste fișiere au fost apoi transmise unui server de comandă și control.
Firma de securitate a remarcat că această activitate rău intenționată are potențiale urme ale unei campanii de spionaj, deși a adăugat că „nu a fost capabilă să atribuie aplicația unui anumit grup rău intenționat”.
Din fericire, Google a pus deja în aplicare o serie de măsuri pentru a combate aceste acțiuni rău intenționate începând cu Android 11. Această caracteristică de securitate hibernează aplicațiile care au fost inactive de câteva luni, resetându-le permisiunile de rulare. În plus, Actualizări de securitate pentru Android de la Google acum vă avertizează cu privire la practicile neregulate de partajare a datelor ale unei aplicații, dacă există, printr-o notificare lunară. Unele dintre noi aplicațiile de securitate preferate sunt, de asemenea, echipate cu funcții pentru a opri atacurile malware.