Компанія ESET повідомляє про виявлення шкідливої програми для Android з функціоналом запису аудіо та викрадення файлів.
Додаток iRecorder – Screen Recorder був доступний у Google Play як легітимний у вересні 2021 року, а шкідливий функціонал, ймовірно, доданий у серпні 2022 року. За час свого існування програма була встановлена на понад 50 000 пристроїв.
Шкідливий функціонал, який додано до безпечної версії iRecorder, був створений на базі відкритого коду трояна віддаленого доступу AhMyth та отримав назву AhRat. Ця шкідлива програма здатна записувати аудіо за допомогою мікрофона пристрою та викрадати файли, що може бути частиною шпигунської атаки.
Крім магазину Google Play, дослідники ESET не виявили AhRat більш ніде. Однак це не перший випадок, коли шкідливе програмне забезпечення для Android на основі AhMyth доступне в офіційному магазині. Раніше ESET виявила такий шкідливий додаток у 2019 році. Тоді шпигунська програма, створена на основі AhMyth, двічі обійшла процес перевірки Google як додаток для потокового радіо.
Однак програму iRecorder також можна знайти на альтернативних та неофіційних магазинах для Android, а розробник також пропонує інші додатки в Google Play, але без шкідливого коду.
«Дослідження AhRat є прикладом того, як спочатку легітимна програма може перетворитися на шкідливу, шпигуючи за користувачами та порушуючи їх конфіденційність», – каже Лукаш Штефанко, дослідник ESET.
Хоча можливо, за його словами, розробник програми хотів створити базу користувачів, перш ніж інфікувати пристрої Android через оновлення. Однак наразі будь-які підтвердження цьому відсутні.
Крім легітимної функції запису екрана, шкідливий iRecorder може записувати аудіо зовні з мікрофона пристрою та завантажувати його на командний сервер зловмисників. Загроза може викрадати з пристрою файли з певними розширеннями, зокрема збережені вебсторінки, зображення, аудіо, відео, а також документи та архіви.
Користувачі Android, які встановили попередню версію iRecorder (до версії 1.3.8), у якій були відсутні будь-які шкідливі функції, могли несвідомо інфікувати свої пристрої AhRat у разі оновлення програми вручну або автоматично, навіть без надання додаткових дозволів.
Заходи для запобігання таким зловмисним діям вже реалізовано в Android версії 11 та новіших версіях у вигляді сплячого режиму програми. Ця функція фактично переводить додатки, які були неактивні протягом кількох місяців, у стан глибокого сну, таким чином скидаючи їхні дозволи на час виконання та запобігаючи функціонуванню шкідливим програмам. Такий висновок робить Штефанко:
“Цей небезпечний додаток було видалено з Google Play після сповіщення від компанії ESET”.
Подібні випадки підтверджують необхідність забезпечення захисту від потенційних загроз, зокрема за допомогою ESET Mobile Security. Проте дослідники ESET ще не знайшли доказів, які б дозволили віднести цю діяльність до певної APT-групи.