Компания ESET — лидер в области информационной безопасности — сообщает об обнаружении вредоносного приложения для Android с функционалом записи аудио и похищения файлов. Приложение iRecorder - Screen Recorder было доступно в Google Play как легитимное в сентябре 2021 года, а вредоносный функционал, вероятно, добавлен в августе 2022 года. За время своего существования программа была установлена более чем на 50 000 устройств.
Вредоносный функционал, добавленный в безопасную версию iRecorder, был создан на базе открытого кода трояна удаленного доступа AhMyth и получил название AhRat. Эта вредоносная программа способна записывать аудио с помощью микрофона устройства и похищать файлы, которые могут быть частью шпионской атаки.
Кроме магазина Google Play, исследователи ESET не обнаружили AhRat больше нигде. Однако это не первый случай, когда вредоносное программное обеспечение для Android на основе AhMyth доступно в официальном магазине. Ранее ESET обнаружила такое вредоносное приложение в 2019 году. Тогда шпионская программа, созданная на основе AhMyth, дважды обошла процесс проверки Google как приложение для потокового радио.
Однако программу iRecorder также можно найти на альтернативных и неофициальных магазинах для Android, а разработчик предлагает другие приложения в Google Play, но без вредоносного кода.
«Исследование AhRat является примером того, как первоначально легитимная программа может превратиться во вредоносную, шпионя за пользователями и нарушая их конфиденциальность. Хотя, возможно, разработчик программы хотел создать базу пользователей, прежде чем заразить устройства Android через обновления. Однако пока какие-либо подтверждения этому отсутствуют», — объясняет Лукаш Штефанко, исследователь ESET.
Помимо легитимной функции записи экрана, вредоносный iRecorder может записывать аудио снаружи с микрофона устройства и загружать его на командный сервер злоумышленников. Угроза может похищать файлы с определенными расширениями, в частности сохраненные веб-страницы, изображения, аудио, видео, а также документы и архивы.
Пользователи Android, установившие предыдущую версию iRecorder (до версии 1.3.8), в которой отсутствовали какие-либо вредоносные функции, могли бессознательно заразить свои устройства AhRat в случае обновления приложения вручную или автоматически, даже без предоставления дополнительных разрешений.
«Меры для предотвращения таких злонамеренных действий уже реализованы в Android версии 11 и более новых версиях в виде спящего режима программы. Эта функция фактически переводит приложения, которые были неактивны в течение нескольких месяцев, в состояние глубокого сна, таким образом сбрасывая их разрешения на время выполнения и предотвращая функционирование вредоносных программ, — подводит итоги Лукаш Штефанко. — Это опасное приложение было удалено из Google Play после оповещения от компании ESET. Подобные случаи подтверждают необходимость обеспечения защиты от потенциальных угроз, в частности с помощью ESET Mobile Security».
Исследователи ESET еще не нашли доказательств, которые позволили бы отнести эту деятельность к определенной APT-группе. Более подробную информацию об активности известных APT-групп в Украине и мире читайте по ссылке.