iRecorder Ap перетворився на шпигунське програмне забезпечення після оновлення

iRecorder, Програма для запису екрана Screen Recorder із над 50,000 завантаження в Google Play, отримав троян віддаленого доступу як «оновлення» та перетворився на шпигунське програмне забезпечення.

Цікаво, шкідливий функціонал з’явився лише через рік після публікації програми в Google Play зберігати.

Нагадаю, що ми теж про це писали Китайська група хакерів Ухильна панда Зламаний Tencent Додаток для шпигування НУО, а також те Дві групи хакерів одразу зламали Федеральне агентство США за допомогою помилки чотирирічної давності.

ESET Про це кажуть експерти, які виявили загрозу в додатку iRecorder – Screen Recorder з'явився в магазині у вересні 2021, але його було троянизовано після оновлення версії 1.3.8 в серпні 2022.

Оскільки програма була призначена для запису екрану, це спростило для зловмисників запитувати дозволи на запис аудіо та доступ до файлів на заражених пристроях, не викликаючи підозр.

Зловмисне програмне забезпечення, яке було включено до згаданого оновлення, — RAT Ах Щур, на основі відкритого джерела AhMyth вихідний код. В той самий час, код узятий з AhMyth був сильно модифікований, і розробник чітко знав, що робив.

Перша шкідлива версія iRecorder містила частини шкідливого коду AhMyth RAT, скопійованого без будь-яких змін. Друга версія шкідливої програми, який ми назвали AhRat, також була доступна в Google Play, і тут AhMyth вже був налаштований: був код для спілкування з C&C сервер і бекдор. На момент написання цієї статті, ми не знайшли AhRat в жодній іншій програмі Google Play чи будь-де ще.пишуть аналітики.

Шкідлива програма AhRat має широкий спектр можливостей, включаючи відстеження місцезнаходження заражених пристроїв, викрадення журналів викликів, контакти, і текстові повідомлення, відправка SMS-повідомлень, запис фонових звуків, і фотографування.

Експерти ESET відзначають, що шкідлива програма для запису екрану використовувала лише частину можливостей AhRat.: кожен 15 хвилин він записав і передав фонові звуки на віддалений сервер (запис тривав близько хвилини), а також крав файли з певними розширеннями, що наштовхнуло дослідників на думку про кібершпигунство .

Лукаш Штефанко

На жаль, ми не маємо жодних доказів того, що програма була спрямована на певну групу людей. З опису застосування та подальших досліджень (у пошуках можливого вектора розповсюдження), неясно, чи постраждала якась конкретна група. Це здається дуже незвичним, але ми не маємо доказів протилежного.Експерт ESET Лукаш Штефанко пише.

Зараз додаток видалено з Google Play, однак експерти попереджають, що iRecorder – Screen Recorder може бути доступний на альтернативних і неофіційних Android магазини програм.

Слід зазначити, що це не перший випадок, коли зловмисне програмне забезпечення на основі відкритого коду AhMyth проникає в Google Play. Так, в 2019, те саме знайшли експерти ESET Радіо Балуш і РБ Музика програми в магазині, який містив законні компоненти для потокового радіомовлення, але також були заражені AhMyth.