Что тебе нужно знать
- Законное приложение для записи экрана в Play Store оказалось шпионским ПО после получения вредоносного обновления.
- Было обнаружено, что приложение для записи экрана iRecorder записывает звук и отправляет данные на удаленные серверы каждые 15 минут.
- Исследователь безопасности обратил внимание Google на вредоносную активность приложения, в результате чего приложение было удалено из Play Store.
Приложение для записи экрана, которое казалось невинным в течение первого года в Play Store, эволюционировало в шпионское ПО, тайно записывая пользователей каждые 15 минут и отправляя аудиоданные разработчику сервер.
Эта вредоносная активность была задокументирована исследователем ESET Лукасом Стефанко, который написал в Сообщение блога (с помощью Арс Техника), что более 50 000 человек скачали приложение, известное как iRecorder — Screen Recorder. Приложение, предназначенное для записи экрана устройства, было добавлено в Play Store 19 сентября 2021 года и работало нормально, как и любое другое приложение.
Однако после получения обновления в августе 2022 года (версия 1.3.8) приложение получило вредоносные функции, которые сделали его опасным для пользователей. Выяснилось, что обновление содержит некий пользовательский вредоносный код, основанный на открытом исходном коде AhMyth Android RAT (троян удаленного доступа), который позже был назван AhRat.
ESET немедленно проинформировала Google о своих выводах, и с тех пор приложение iRecorder было удалено из Google Play. С другой стороны, троянизированное приложение продолжает представлять серьезную угрозу для тех, у кого оно есть. установлены на их телефоны, так как он предоставляет доступ к файлам и позволяет записывать аудио без их знание.
Согласно ESET, приложение извлекает записи с микрофона и крадет файлы с определенными расширениями для сохраненных веб-страниц, изображений, аудио, видео и документов. Затем эти файлы передавались на сервер управления и контроля.
Охранная фирма отметила, что эта вредоносная активность имеет потенциальные следы шпионской кампании, но добавила, что «не может отнести приложение к какой-либо конкретной вредоносной группе».
К счастью, начиная с Android 11, Google уже принял ряд мер для борьбы с этими вредоносными действиями. Эта функция безопасности переводит приложения, которые были неактивны в течение нескольких месяцев, в спящий режим, сбрасывая их разрешения во время выполнения. Кроме того, Обновления безопасности Android от Google теперь предупредите вас о нерегулярных методах обмена данными приложения, если таковые имеются, посредством ежемесячного уведомления. некоторые из наших любимые приложения безопасности также оснащены функциями для предотвращения атак вредоносных программ.