Výskumníci spoločnosti ESET odhalili škodlivú Android aplikáciu s názvom iRecorder – Screen Recorder, ktorá bola dostupná ako legitímna aplikácia v obchode Google Play od septembra 2021, pričom škodlivé funkcie boli do nej pridané až neskôr, pravdepodobne v auguste 2022. Doteraz si iRecorder z obchodu Goole Play stiahlo vyše 50 000 ľudí. Škodlivý kód, ktorý bol pridaný do pôvodne neškodnej verzie je založený na open-source AhMyth Android trojane a bol špeciálne upravený do malvéru, ktorý ESET nazval AhRat.
Okrem poskytovania legitímnej funkcionality na nahrávanie obrazovky, dokáže iRecorder zaznamenávať okolitý zvuk prostredníctvom mikrofónu na zariadení a nahrávať ho na riadiaci server útočníka. Taktiež dokáže kradnúť súbory v špecifických formátoch predstavujúcich uložené webstránky, obrázky, zvuk, video, dokumentové súbory a formáty použité na kompresiu viacerých súborov. Nebezpečné je, že aj používatelia, ktorí si nainštalovali neškodné skoršie verzie aplikácie iRecorder (pred verziou 1.3.8), nevedomky vystavili svoje zariadenia malvéru AhRat. Stačilo, ak si manuálne alebo automaticky aktualizovali aplikáciu. Aplikácii dokonca nemuseli udeliť žiadne ďalšie povolenia.
Čítajte viac: Dajte si pozor na QR kódy na parkoviskách a v reštauráciách. Varuje pred nimi aj FBI
„Prípad AhRat slúži ako dobrý príklad toho, ako sa môže pôvodne legitímna aplikácia premeniť na škodlivú a to dokonca po niekoľkých mesiacoch, keď začne špehovať svojich používateľov a narúšať ich súkromie. Aj keď je možné, že vývojári aplikácie chceli najprv vybudovať širokú bázu používateľov a až potom skompromitovať ich zariadenia prostredníctvom aktualizácie, alebo majú na svedomí transformáciu útočníci, nemáme dôkazy ani pre jednu z týchto hypotéz,“ vysvetľuje Lukáš Štefanko, výskumník spoločnosti ESET, ktorý odhalil a analyzoval túto hrozbu.
Okrem obchodu Google Play výskumníci spoločnosti ESET nezaznamenali malvér AhRat nikde inde v reálnom prostredí. Nejde však o prvý prípad, keď bol Android malvér založený na AhMyth dostupný v oficiálnom obchode. ESET zverejnil podobný výskum už v roku 2019. Spyvéru založenom na trojane AhMyth sa vtedy podarilo dvakrát obísť kontrolný proces aplikácií v prestrojení za softvér na poskytovanie rádiového vysielania. Aktuálne nájdená aplikácia iRecorder sa nachádza aj na alternatívnych neoficiálnych Android obchodoch. Vývojárska spoločnosť m ktorá iRecorder vytvorila ponúka na Google Play aj iné aplikácie, no boli preverené a aktuálne žiadna z nich neobsahuje škodlivý kód.
„Našťastie, proti takýmto škodlivým operáciám už boli nasadené preventívne opatrenia do systému Android 11 a vyšších verzií a to vo forme hibernácie aplikácií. Táto funkcia účinne uvádza aplikácie, ktoré boli niekoľko mesiacov nečinné, do stavu hibernácie, čím sa resetujú ich runtime povolenia a škodlivým aplikáciám sa zabráni fungovať tak, ako zamýšľali útočníci.,“ dopĺňa Štefanko.
