ESET odhalil ďalšiu hrozbu, obľúbená aplikácia schováva špionážny softvér!

Výskumníci zo spoločnosti ESET odhalili ďalšiu škodlivú Android aplikáciu s názvom iRecorder – Screen Recorder. Tá bola dostupná ako legitímna aplikácia v obchode Google Play, ale ukrývala nebezpečný špionážny softvér.

V obchode s aplikáciami figurovala od septembra 2021, pričom vtedy neobsahovala žiaden škodlivý softvér. Ten tam bol pravdepodobne pridaný v auguste 2022. Aplikácia bola dokopy nainštalovaná na viac ako 50 000 zariadení.

Škodlivý kód je založený na open-source AhMyth Android trojane pre vzdialený prístup (RAT) a bol špeciálne upravený do malvéru, ktorý ESET nazval AhRat. Okrem poskytovania nahrávania obrazovky, dokáže iRecorder zaznamenávať okolitý zvuk prostredníctvom mikrofónu a nahrávať ho na server útočníka.

Taktiež dokáže kradnúť súbory v špecifických formátoch predstavujúcich uložené webstránky, obrázky, zvuk, video, dokumentové súbory a formáty použité na kompresiu viacerých súborov.

Výskumníci z ESET okrem daného obchodu s aplikáciami tento škodlivý malvér nezaznamenali, hoci nejde o prvý prípad, keď bol Android malvér založený na AhMyth dostupný v oficiálnom obchode. Podobná udalosť sa stala aj v roku 2019.

Aktuálne nájdená aplikácia iRecorder sa nachádza aj na alternatívnych neoficiálnych Android obchodoch s aplikáciami. Vývojárska spoločnosť ponúka na Google Play aj iné aplikácie, no tie škodlivý kód neobsahujú.

Lukáš Štefanko, výskumník spoločnosti ESET, ktorý odhalil a analyzoval túto hrozbu, hovorí, že prípad AhRat slúži ako dobrý príklad toho, ako sa môže pôvodne legitímna aplikácia premeniť na škodlivú, a to dokonca po niekoľkých mesiacoch, keď začne špehovať svojich používateľov a narúšať ich súkromie.

V spoločnosti ESET ale nemajú dôkazy, či vývojári aplikácie chceli najprv vybudovať širokú bázu používateľov a až potom skompromitovať ich zariadenia prostredníctvom aktualizácie alebo sú za tým útočníci.

Používatelia, ktorí si nainštalovali neškodné skoršie verzie aplikácie iRecorder, nevedomky vystavili svoje zariadenia tomuto malvéru, pokiaľ si manuálne alebo automaticky aktualizovali aplikáciu. Škodlivá aplikácia bola po upozornení spoločnosti ESET z Google Play odstránená.

Proti takýmto škodlivým aplikáciám už boli nasadené preventívne opatrenia do systému Android 11 a novšieho, a to vo forme hibernácie aplikácií. Aplikácie, ktoré boli niekoľko mesiacov nečinné, uvedie do stavu hibernácie, čím sa resetujú ich povolenia.