iRecorder, Програма для запису екрана Screen Recorder із над 50,000 завантаження в Google Play, отримав троян віддаленого доступу як «оновлення» та перетворився на шпигунське програмне забезпечення.
Цікаво, шкідливий функціонал з’явився лише через рік після публікації програми в Google Play зберігати.
Нагадаю, що ми теж про це писали Китайська група хакерів Ухильна панда Зламаний Tencent Додаток для шпигування НУО, а також те Дві групи хакерів одразу зламали Федеральне агентство США за допомогою помилки чотирирічної давності.
ESET Про це кажуть експерти, які виявили загрозу в додатку iRecorder – Screen Recorder з'явився в магазині у вересні 2021, але його було троянизовано після оновлення версії 1.3.8 в серпні 2022.
Оскільки програма була призначена для запису екрану, це спростило для зловмисників запитувати дозволи на запис аудіо та доступ до файлів на заражених пристроях, не викликаючи підозр.
Зловмисне програмне забезпечення, яке було включено до згаданого оновлення, — RAT Ах Щур, на основі відкритого джерела AhMyth вихідний код. В той самий час, код узятий з AhMyth був сильно модифікований, і розробник чітко знав, що робив.
Шкідлива програма AhRat має широкий спектр можливостей, включаючи відстеження місцезнаходження заражених пристроїв, викрадення журналів викликів, контакти, і текстові повідомлення, відправка SMS-повідомлень, запис фонових звуків, і фотографування.
Експерти ESET відзначають, що шкідлива програма для запису екрану використовувала лише частину можливостей AhRat.: кожен 15 хвилин він записав і передав фонові звуки на віддалений сервер (запис тривав близько хвилини), а також крав файли з певними розширеннями, що наштовхнуло дослідників на думку про кібершпигунство .
Зараз додаток видалено з Google Play, однак експерти попереджають, що iRecorder – Screen Recorder може бути доступний на альтернативних і неофіційних Android магазини програм.
Слід зазначити, що це не перший випадок, коли зловмисне програмне забезпечення на основі відкритого коду AhMyth проникає в Google Play. Так, в 2019, те саме знайшли експерти ESET Радіо Балуш і РБ Музика програми в магазині, який містив законні компоненти для потокового радіомовлення, але також були заражені AhMyth.
Залишити коментар