Forscher des IT-Sicherheitsherstellers ESET haben eine trojanische Version der beliebten Android-App „iRecorder - Screen Recorder“ in Google Play entdeckt und entfernen lassen. Die bösartige Anwendung konnte ohne Einwilligung des Nutzers über das Gerätemikrofon Audio aufzeichnen und Dateien stehlen. Gerade Nutzern mit Android Versionen älter als 11 empfehlen die ESET Experten den 50.000 Anwendern, iRecorder – Screen Recorder zu löschen und eine neue Programmversion ab 2.0 zu installieren. Eine mobile Sicherheitslösung verstärkt zudem den Schutz vor Bedrohungen ähnlicher Art. Die App war im September 2021 als legitime App bei Google Play erhältlich, die schädliche Funktionalität wurde vermutlich im August 2022 hinzugefügt. Die Malware namens AhRat basiert auf dem quelloffenen AhMyth Android RAT (Remote Access Trojan). Die detaillierte Analyse haben die ESET Forscher auf dem Security-Blog Welivesecurity.de veröffentlicht. https://www.welivesecurity.com/deutsch/2023/05/23/von-legitim-zu-bosartig-ahrat/
Statt Screenrecording Spionage
Der bösartige iRecorder bietet nicht nur legitime Bildschirmaufzeichnungsfunktionen, sondern kann auch Umgebungsgeräusche über das Mikrofon des Geräts aufzeichnen und auf den Command-and-Control-Server des Angreifers hochladen. Die App ist zudem in der Lage, Dateien mit Erweiterungen, die gespeicherte Webseiten, Bilder, Audio-, Video- und Dokumentdateien sowie Dateiformate, die zur Komprimierung mehrerer Dateien verwendet werden, vom Gerät zu extrahieren.
Android-Benutzer, die eine frühere, legitime Version von iRecorder (vor Version 1.3.8) installiert hatten, setzten ihre Geräte unwissentlich AhRat aus, wenn sie die Anwendung anschließend manuell oder automatisch aktualisierten. Dies konnte auch passieren, selbst wenn sie der Anwendung keine weitere Genehmigung erteilt hatten.
„Glücklicherweise wurden in Android 11 und höheren Versionen bereits Präventivmaßnahmen gegen solche bösartigen Aktionen in Form von sogenannter App-Hibernation implementiert. Diese Funktion versetzt Apps, die mehrere Monate inaktiv waren, in einen Ruhezustand. Dabei werden ihre Laufzeitberechtigungen zurückgesetzt, so dass bösartige Apps nicht mehr wie beabsichtigt funktionieren können. Die schädliche Version von iRecorder wurde nach unserer Warnung aus Google Play entfernt. Dies bestätigt, dass ein mehrschichtiger Schutz wie ESET Mobile Security nach wie vor unerlässlich ist, um Geräte vor potenziellen Sicherheitsverletzungen zu schützen", erklärt ESET Forscher Lukáš Štefanko.
Infizierte iRecorder-Version aus Google Play entfernt
Außer im Google Play Store hat ESET Research AhRat bislang nirgendwo in freier Wildbahn entdeckt. Es ist jedoch nicht das erste Mal, dass eine auf AhMyth basierende Android-Malware im offiziellen Store verfügbar ist: Bereits 2019 veröffentlichten ESET Forscher ihre Ergebnisse zu einer solchen trojanisierten App. Damals umging die auf den Grundlagen von AhMyth basierende Spyware zweimal den App-Verifizierungsprozess von Google als schädliche App, die Radiostreaming anbot. Die App iRecorder ist jedoch auch in alternativen und inoffiziellen Android-Märkten zu finden. Der Entwickler bietet auch andere Apps auf Google Play an, die jedoch keinen Schadcode enthalten.
Über AhRat
„Der Fall AhRat ist ein gutes Beispiel dafür, wie sich eine ursprünglich legitime App auch nach vielen Monaten in eine bösartige Anwendung verwandeln kann, die ihre Nutzer ausspioniert und deren Privatsphäre gefährdet. Es ist möglich, dass der App-Entwickler eine Nutzerbasis aufbauen wollte, bevor er deren Android-Geräte durch ein Update kompromittiert. Oder ein böswilliger Akteur hat diese Änderung in die App eingebracht. Bisher haben wir keine Beweise für eine dieser Hypothesen", sagt Lukáš Štefanko.
AhRat ist eine Anpassung der Open-Source-App AhMyth RAT. Die Autoren haben erhebliche Anstrengungen unternommen, um den Code sowohl der App als auch des Backends zu verstehen und ihn schließlich an ihre eigenen Bedürfnisse anzupassen.
Weitere Details auf Welivesecurity.de
Zusätzliche technische Informationen finden Sie im Blogpost „Von legitim zu bösartig: Die Verwandlung einer Android‑App innerhalb eines Jahres“ auf WeLiveSecurity.de:
https://www.welivesecurity.com/deutsch/2023/05/23/von-legitim-zu-bosartig-ahrat/