To była zwykła aplikacja, jakiej są tysiące w sklepie Google Play. Narzędzie do nagrywania ekranu iRecorder po roku stało się oprogramowaniem szpiegującym.

Zwróć uwagę na aplikacje, które zainstalowałeś na swoim telefonie komórkowym. Zwłaszcza te, które są bezpłatne. Firma Eset wykryła w sklepie Google Play złośliwą aplikację o nazwie iRecorder – Screen Recorder, która była dostępna dla wszystkich za darmo i umożliwiała nagrywanie wideo z ekranu. Dostępny był w sklepach od września 2021 r., podczas gdy działał bezproblemowo przez wiele miesięcy. Punkt zwrotny nastąpił prawdopodobnie w 2022 r., kiedy programiści subtelnie przeniknęli do niego złośliwy kod za pośrednictwem aktualizacji. Według firmy Eset ten szkodliwy kod bazuje na trojanie AhMyth, który odblokowuje zdalny dostęp na urządzeniach mobilnych. „Aplikacja może nagrywać dźwięk przez mikrofon urządzenia i kraść pliki, co sugeruje, że może to być część kampanii szpiegowskiej” – podała firma. iRecorder umożliwił również nagrywanie dźwięków otoczenia i wysyłanie ich do zdalnych serwerów atakującego.

Wystarczy zwykła „niewinna” aktualizacja

Złośliwe oprogramowanie AhRat nie zostało znalezione przez badaczy w żadnym innym sklepie niż Google Play. „To nie pierwszy raz, kiedy złośliwe oprogramowanie dla Androida oparte na AhMyth jest dostępne w oficjalnym sklepie. W 2019 r. oprogramowanie szpiegujące oparte na trojanie AhMyth z powodzeniem ominęło aplikacje procesowe sprawdzania, udając oprogramowanie do transmisji radiowych. Dostępna jest również obecnie dostępna aplikacja iRecorder w innych nieoficjalnych sklepach z Androidem” – dodał Eset. Paradoksalnie firma deweloperska, która oprócz iRecordera oferuje również inne aplikacje w sklepie Google Play, nie wprowadziła złośliwego kodu do innych programów ze swojego portfolio.

Nawet użytkownicy, którzy zainstalowali nieszkodliwe starsze wersje iRecorder (przed wersją 1.3.8) nieświadomie narażali swoje urządzenia na szkodliwe oprogramowanie AhRat. Wszystko, co musiałeś zrobić, to ręcznie lub automatycznie zaktualizować aplikację. Nie musieli nawet nadawać aplikacji żadnych dodatkowych uprawnień.

AhRat jest doskonałym przykładem tego, jak zwykła aplikacja może zmienić się w złośliwą aplikację w ciągu zaledwie kilku miesięcy. „Możliwe, że twórcy aplikacji chcieli najpierw zbudować dużą bazę użytkowników, a dopiero potem skompromitowali swoje urządzenia poprzez aktualizację” — uważa Lukáš Štefanko, badacz firmy Eset.