Google je uklonio aplikaciju za snimanje ekrana pod nazivom “iRecorder – Screen Recorder” iz Play Store-a nakon što je otkriveno da ima mogućnosti krađe informacija skoro godinu dana nakon što je aplikacija objavljena kao bezopasna aplikacija.
Aplikacija (naziv APK paketa “com.tsoft.app.iscreenrecorder”), koja je prikupila preko 50.000 instalacija, prvi put je postavljena 19. septembra 2021. godine. Vjeruje se da je maliciozna funkcionalnost uvedena u verziji 1.3.8, koja je objavljena 24. avgusta 2022. godine.
“Rijetko se dešava da programer učita legitimnu aplikaciju, sačeka skoro godinu dana, a zatim je ažurira malicioznim kodom” rekao je ESET-ov sigurnosni istraživač Lukáš Štefanko u tehničkom izvještaju.
“Maliciozni kod koji je dodan čistoj verziji iRecorder-a baziran je na otvorenom kodu AhMyth Android RAT-a (trojanac za pristup na daljinu) i prilagođen je onome što smo nazvali AhRat.”
iRecorder je prvi put označen da sadrži trojanac AhMyth 28. oktobra 2022. godine od strane sigurnosnog analitičara kompanije Kaspersky Igora Golovina, što ukazuje da je aplikacija uspjela ostati dostupna cijelo ovo vrijeme, pa čak i da je dobila novo ažuriranje 26. februara 2023. godine.
Maliciozno ponašanje aplikacije posebno uključuje izdvajanje snimaka mikrofona i prikupljanje datoteka sa određenim ekstenzijama, pri čemu ESET opisuje AhRat kao laganu verziju AhMyth-a.
Karakteristika prikupljanja podataka ukazuje na mogući motiv špijunaže, iako nema dokaza koji bi povezivali aktivnost s bilo kojim poznatim hakerom. Međutim, AhMyth je ranije koristio Transparent Tribe u napadima usmjerenim na južnu Aziju.
iRecorder je djelo programera po imenu Coffeeholic Dev, koji je takođe objavio nekoliko drugih aplikacija tokom godina. Nijedan od njih nije dostupan od trenutka pisanja:
- iBlock (com.tsoft.app.iblock.ad)
- iCleaner (com.isolar.icleaner)
- iEmail (com.tsoft.app.email)
- iLock (com.tsoft.app.ilock)
- iVideoDownload (com.tsoft.app.ivideodownload)
- iVPN (com.ivpn.speed)
- File zvučnik (com.teasoft.filespeaker)
- QR Saver (com.teasoft.qrsaver)
- Tin nóng tin lạnh (čitaj: Vruće vijesti i hladne vijesti na vijetnamskom) (com.teasoft.news)
Ovaj razvoj je samo najnoviji primjer malicioznog softvera koji je usvojio tehniku zvanu Versioning, koja se odnosi na učitavanje čiste verzije aplikacije u Play Store kako bi se izgradilo povjerenje među korisnicima, a zatim dodavanje malicioznog koda u kasnijoj fazi putem ažuriranja aplikacije, u ponudi da prođete kroz proces pregleda aplikacije.
“Slučaj istraživanja AhRat služi kao dobar primjer kako se prvobitno legitimna aplikacija može pretvoriti u malicioznu, čak i nakon mnogo mjeseci, špijunirajući svoje korisnike i ugrožavajući njihovu privatnost” rekao je Štefanko.
Izvor: The Hacker News