Android-App iRecorder: Legale Anwendung mutiert zum Spionagetool

Nächste PM

Forscher des IT-Sicherheitsherstellers ESET haben eine trojanische Version der beliebten Android-App „iRecorder - Screen Recorder“ in Google Play entdeckt und entfernen lassen. Die bösartige Anwendung konnte ohne Einwilligung des Nutzers über das Gerätemikrofon Audio aufzeichnen und Dateien stehlen. Gerade Nutzern mit Android Versionen älter als 11 empfehlen die ESET Experten den 50.000 Anwendern, iRecorder – Screen Recorder zu löschen und eine neue Programmversion ab 2.0 zu installieren. Eine mobile Sicherheitslösung verstärkt zudem den Schutz vor Bedrohungen ähnlicher Art. Die App war im September 2021 als legitime App bei Google Play erhältlich, die schädliche Funktionalität wurde vermutlich im August 2022 hinzugefügt. Die Malware namens AhRat basiert auf dem quelloffenen AhMyth Android RAT (Remote Access Trojan). Die detaillierte Analyse haben die ESET Forscher auf dem Security-Blog Welivesecurity.de veröffentlicht. https://www.welivesecurity.com/deutsch/2023/05/23/von-legitim-zu-bosartig-ahrat/

Statt Screenrecording Spionage

Der bösartige iRecorder bietet nicht nur legitime Bildschirmaufzeichnungsfunktionen, sondern kann auch Umgebungsgeräusche über das Mikrofon des Geräts aufzeichnen und auf den Command-and-Control-Server des Angreifers hochladen. Die App ist zudem in der Lage, Dateien mit Erweiterungen, die gespeicherte Webseiten, Bilder, Audio-, Video- und Dokumentdateien sowie Dateiformate, die zur Komprimierung mehrerer Dateien verwendet werden, vom Gerät zu extrahieren.

Android-Benutzer, die eine frühere, legitime Version von iRecorder (vor Version 1.3.8) installiert hatten, setzten ihre Geräte unwissentlich AhRat aus, wenn sie die Anwendung anschließend manuell oder automatisch aktualisierten. Dies konnte auch passieren, selbst wenn sie der Anwendung keine weitere Genehmigung erteilt hatten.

„Glücklicherweise wurden in Android 11 und höheren Versionen bereits Präventivmaßnahmen gegen solche bösartigen Aktionen in Form von sogenannter App-Hibernation implementiert. Diese Funktion versetzt Apps, die mehrere Monate inaktiv waren, in einen Ruhezustand. Dabei werden ihre Laufzeitberechtigungen zurückgesetzt, so dass bösartige Apps nicht mehr wie beabsichtigt funktionieren können. Die schädliche Version von iRecorder wurde nach unserer Warnung aus Google Play entfernt. Dies bestätigt, dass ein mehrschichtiger Schutz wie ESET Mobile Security nach wie vor unerlässlich ist, um Geräte vor potenziellen Sicherheitsverletzungen zu schützen", erklärt ESET Forscher Lukáš Štefanko.

Infizierte iRecorder-Version aus Google Play entfernt

Außer im Google Play Store hat ESET Research AhRat bislang nirgendwo in freier Wildbahn entdeckt. Es ist jedoch nicht das erste Mal, dass eine auf AhMyth basierende Android-Malware im offiziellen Store verfügbar ist: Bereits 2019 veröffentlichten ESET Forscher ihre Ergebnisse zu einer solchen trojanisierten App. Damals umging die auf den Grundlagen von AhMyth basierende Spyware zweimal den App-Verifizierungsprozess von Google als schädliche App, die Radiostreaming anbot. Die App iRecorder ist jedoch auch in alternativen und inoffiziellen Android-Märkten zu finden. Der Entwickler bietet auch andere Apps auf Google Play an, die jedoch keinen Schadcode enthalten.

Über AhRat

„Der Fall AhRat ist ein gutes Beispiel dafür, wie sich eine ursprünglich legitime App auch nach vielen Monaten in eine bösartige Anwendung verwandeln kann, die ihre Nutzer ausspioniert und deren Privatsphäre gefährdet. Es ist möglich, dass der App-Entwickler eine Nutzerbasis aufbauen wollte, bevor er deren Android-Geräte durch ein Update kompromittiert. Oder ein böswilliger Akteur hat diese Änderung in die App eingebracht. Bisher haben wir keine Beweise für eine dieser Hypothesen", sagt Lukáš Štefanko.

AhRat ist eine Anpassung der Open-Source-App AhMyth RAT. Die Autoren haben erhebliche Anstrengungen unternommen, um den Code sowohl der App als auch des Backends zu verstehen und ihn schließlich an ihre eigenen Bedürfnisse anzupassen.

Weitere Details auf Welivesecurity.de

Zusätzliche technische Informationen finden Sie im Blogpost „Von legitim zu bösartig: Die Verwandlung einer Android‑App innerhalb eines Jahres“ auf WeLiveSecurity.de:

https://www.welivesecurity.com/deutsch/2023/05/23/von-legitim-zu-bosartig-ahrat/

Pressekontakt

Christian Lueg
Head of Communication & PR DACH

christian.lueg@eset.com

Michael Klatte
PR-Manager

michael.klatte@eset.com

Philipp Plum
PR-Manager

philipp.plum@eset.com

Über ESET

Der europäische IT-Sicherheitshersteller ESET mit Hauptsitz in Bratislava (Slowakei) bietet hochmoderne digitale Security-Lösungen, um Angriffe zu verhindern, bevor sie passieren. Ob Endpoint-, Cloud- oder mobiler Schutz – durch die Kombination aus Künstlicher Intelligenz und menschlicher Expertise sichert ESET Unternehmen, kritische Infrastrukturen und Privatpersonen effektiv ab.  Die Technologien „Made in EU“ sorgen für zuverlässige Erkennung und Reaktion, extrem sichere Verschlüsselung und Multi-Faktor-Authentifizierung. ESET verfügt über weltweite Forschungs- und Entwicklungszentren und ein starkes internationales Partnernetzwerk in über 200 Ländern und Regionen.