Aplikacja nagrywała audio bez wiedzy użytkownika i wysyłała je cyberprzestępcom

Anna BorzęckaSkomentuj
Aplikacja nagrywała audio bez wiedzy użytkownika i wysyłała je cyberprzestępcom
Niestety, mimo szczerych starań giganta z Mountain View do sklepu Google Play nieustannie trafiają aplikacje zawierające złośliwe malware. Coraz częściej zdarza się też, że aplikacja jest publikowana jako bezpieczne, użyteczne narzędzie, a dopiero potem umieszczane są elementy malware. Właśnie tak było w przypadku iRecorder – Screen Recorder.

Aplikacja iRecorder – Screen Recorder od jakiegoś czasu sekretnie rejestrowała audio bez wiedzy użytkownika i wysyłała je cyberprzestępcom.

Niespodziewany szpieg w Google Play

iRecorder – Screen Recorder pojawiła się w sklepie Google Play we wrześniu 2021 roku. W tamtym momencie nie zawierała żadnego złośliwego kodu, ale to zmieniło się wraz z aktualizacją o numerze 1.3.8, która zadebiutowała w sierpniu 2022 roku. Odkrył to Lukas Stefanko, ekspert ds. cyberbezpieczeństwa z firmy ESET.

Złośliwy kod dodany do aplikacji bazuje na otwartoźródłowym trojanie typu RAT (ang. Remote Access Trojan) o nazwie AhMyth, który jest w stanie kraść dane z urządzeń. Mowa o danych takich jak kontakty, wiadomości SMS, historia połączeń, historia przeglądania sieci, lokalizacja urządzenia, a także zrzuty ekranu. Jego zmodyfikowana wersja wykorzystana w aplikacji iRecorder – Screen Recorder posiada jednak ograniczoną funkcjonalność.

irecorder

Aplikacja iRecorder – Screen Recorder. | Źródło: iRecorder – Screen Recorder

Malware, któremu nadano nazwę AhRat, jest zdolne do nagrywania audio z pomocą mikrofonu urządzenia co 15 minut i wysyłania nagrań do serwer cyberprzestępców. Możliwe jednak, że planowano poszerzenie jego możliwości po wiele wymienionych wyżej funkcji.

Zagrożenie zażegnane

Aplikację iRecorder – Screen Recorder pobrano ze sklepu Google Play ponad 50 tysięcy razy. Co więcej, miała ona całkiem wysoką średnią ocen w tej platformie, wynoszącą 4,2/5. Na szczęście już ją z niej usunięto. Oczywiście, jeśli pobrałeś ją na swoje urządzenie, jak najprędzej się jej pozbądź.

Ale dlaczego zawarte w niej malware potrafiło akurat nagrywać i wysyłać dźwięk w krótkich odstępach czasu? To nietypowa cecha. Lukas Stefanko zasugerował, że być może było ono częścią kampanii szpiegowskiej, zwłaszcza że otwartoźródłowy AhMyth był już wcześniej używany przez grupę szpiegowską Transparent Tribe znaną z atakowania organizacji rządowych i wojskowych w Azji Połudnowej. To powiedziawszy, nie ma dowodów na to, że AhRat jest z tą grupą powiązany.

Coffeeholic Dev, czyli twórca omawianej aplikacji, oferował w sklepie Google Play także inne aplikacje, ale one nie zawierały złośliwego oprogramowania. Jako że i do nich malware mogło zostać dodane w przyszłości, je także Google usunęło ze swojej platformy.

Źródło: ESET, fot. tyt. Canva

Udostępnij

Anna BorzęckaSwoją przygodę z dziennikarstwem rozpoczęła w 2015 roku. Na co dzień pisze o nowościach ze świata technologii i nauki, ale jest również autorką felietonów i recenzji. Chętnie testuje możliwości zarówno oprogramowania, jak i sprzętu – od smartfonów, przez laptopy, peryferia komputerowe i urządzenia audio, aż po małe AGD. Jej największymi pasjami są kulinaria oraz gry wideo. Sporą część wolnego czasu spędza w World of Warcraft, a także przyrządzając potrawy z przeróżnych zakątków świata.