חוקרי ESET גילו אפליקציה לאנדרואיד הכוללת נוזקת סוס טרויאני בשם
“iRecorder – Screen Recorder”. האפליקציה הייתה זמינה להורדה ב-Google Play Store כאפליקציה לגיטימית בספטמבר 2021, והאפשרויות הזדוניות נוספו אלה ככל הנראה באוגוסט 2022.
במהלך תקופת חייה, האפליקציה הותקנה על יותר מ-50,000 מכשירים. הקוד הזדוני שנוסף לגרסה הנקייה של iRecorder מבוסס על נוזקת AhMyth, שמבוססת על קוד פתוח ומוגדרת כסוס טרויאני לגישה מרחוק (RAT – Remote Access Trojan) ושונתה לנוזקה שכונתה בשם ״AhRAT״ ע״י ESET.
האפליקציה הזדונית מסוגלת להקליט שמע באמצעות המיקרופון של המכשיר ולגנוב קבצים, מה שעשוי להצביע על כך שהיא הייתה חלק מקמפיין ריגול.
גוף המחקר של ESET לא זיהה את נוזקת AhRAT באף מקום מלבד Google Play Store. עם זאת, זו לא הפעם הראשונה שבה נוזקת אנדרואיד שמבוססת על AhMyth הייתה זמינה להורדה בחנות הרשמית; ESET פרסמה מחקר על אפליקציה כזו המודבקת בסוס טרויאני בשנת 2019. הרוגלה מהמקרה ההוא, שמתבססת על היסודות של AhMyth, עקפה את תהליך אימות האפליקציות של גוגל פעמיים והצליחה להישאר בחנות כנוזקה המספקת שירותי הזרמת רדיו. לעומתה, את אפליקציית iRecorder עדיין ניתן למצוא בחנויות אפליקציות אלטרנטיביות ולא-רשמיות, והמפתח עדיין מציע אפליקציות אחרות להורדה ב-Google Play Store, אך אלו אינן כוללות קוד זדוני.
״המחקר על המקרה של AhRAT משמש כדוגמה מצוינת לאופן בו אפליקציה שמתחילה כלגיטימית יכולה להפוך לזדונית, גם לאחר מספר חודשים, וכך לרגל אחרי המשתמשים שלה ולפגוע בפרטיות שלהם. ייתכן שמפתח התוכנה התכוון לבנות בסיס משתמשים גדול לפני שפגע במכשירי האנדרואיד שלהם באמצעות העדכון, או שגורם זדוני יצר את השינוי הזה באפליקציה, אך עד כה אין לנו עדות כלשהי שמחזקת את אחת משתי ההשערות האלה״, מסביר חוקר ESET, לוקאס סטפנקו, שגילה את האיום וחקר אותו.
נוזקת AhRAT הנשלטת מרחוק היא וריאנט מותאם אישית של הסוס הטרויאני לגישה מרחוק (RAT) המכונה AhMyth, מה שמצביע על כך שמפתחי התוכנה הזדונית השקיעו מאמץ גדול בהבנת הקוד של האפליקציה ושל ה-Backend שלה, וכך התאימו אותה לצרכיהם.
מלבד מתן האפשרות הלגיטימית להקלטת המסך, אפליקציית iRecorder הזדונית הייתה יכולה להקליט שמע סביבתי מהמיקרופון של המכשיר ולהעלות את ההקלטות לשרת השליטה והבקרה של התוקף. היא יכלה גם להדליף קבצים המאוחסנים במכשיר עם סיומות המייצגות דפי רשת, תמונות, שמע, סרטונים ופורמטים שונים המשמשים לכיווץ נתונים.
משתמשי אנדרואיד שהתקינו את הגרסה המוקדמת של iRecorder (קודמת ל-1.3.8), שלא כללה מאפיינים זדוניים כלשהם, חשפו ללא ידיעתם את המכשירים שלהם לנוזקת AhRAT אם עדכנו את האפליקציה באופן ידני או אוטומטי, והם אפילו לא נדרשו לתת לאפליקציה הרשאות נוספות.
״למרבה המזל, אמצעים מניעתיים כנגד פעולות זדוניות כאלה כבר הוטמעו בגרסאות 11 ומעלה של אנדרואיד, כשהאמצעי העיקרי הוא השבתת אפליקציות (App Hibernation). האפשרות הזאת מביאה אפליקציות שלא הופעלו במשך מספר חודשים למצב שינה, ובכך איפסה את הרשאות הריצה שלהן ומנעה מהאפליקציות הזדוניות לבצע את מה שתוכננו לבצע. האפליקציה הזדונית הוסרה מ-Google Play Store בעקבות ההתרעה שלנו, מה שמוכיח שהצורך באבטחה הניתנת בצורה של ריבוי שכבות, כמו ב-ESET Mobile Security, עדיין מהווה חלק חיוני בהגנה על מכשירים מפני פרצות אבטחה אפשריות״, מסכם סטפנקו.
גוף המחקר של ESET עדיין לא מצא עדויות מוצקות כלשהן שיכולות לקשר את הפעילות הזאת לקמפיין ספציפי או לקבוצת מאמץ מתקדם מתמיד (APT) ספציפית.