Titokban kémkedett a népszerű androidos képernyőrögzítő
Újabb példa mutatja, hogy egy eredetileg ártatlan alkalmazás később kártékony funkciókkal bővülhet, hangfelvételek készítése miatt kellett törölni az iRecorder Screen Recorder-t.
Korábban több mint 50 ezren töltötték le a Google Play kínálatából az azóta eltávolított iRecorder Screen Recorder nevű alkalmazást, ami a fejlesztők ígérete szerint a képernyőn látható tartalom rögzítésére készült. Az ígéretet teljesítő, eredetileg teljesen jóindulatú szoftver 2021. szeptemberében került fel a digitális áruház kínálatába, 11 hónappal később pedig egy funkciófrissítéssel visszaélésre lehetőséget adó képességekkel bővült – számolt be róla Lukas Stefanko, az ESET kutatója. Az iRecorder pluszban megkapta az eszköz mikrofonjának távoli bekapcsolását és a hangrögzítési képességet, illetve csatlakozni tudott a támadók által vezérelt szerverhez, és hozzáfért az eszközön tárolt hang- és egyéb érzékeny fájlokhoz, amiket egy titkosított csatornán keresztül szivárogtatott ki.
A titkos kémkedési funkciókat az AhMyth nevű nyílt forráskódú RAT kártevő biztosította, amit az elmúlt években számos más androidos alkalmazásban azonosítottak már a biztonsági szakemberek. Az idő előrehaladtával az AhMyth-ből átvett kód azonban erősen módosult és több képességet kapott, ezért az iRecorderben talált, módosított RAT-ot AhRatnek nevezték el az ESET szakértői. A kód 15 percenként utasítást adott az applikációnak, hogy rögzítsen egy percnyi hanganyagot, és küldje el a támadó parancs- és vezérlőszerverére.
CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.
Sajnos nem meglepő, hogy a Google digitális áruházának kínálatában rosszindulatú programok is megtalálhatók, az már problémásabb a kritikusok szerint, hogy a keresőcég nem értesíti az esetlegesen érintett felhasználókat, miután a biztonsági szakértők felfedtek egy újabb kártékony működést.
Stefanko szerint elképzelhető, hogy a fertőzött iRecorder egy aktív kémkampány része, de egyelőre nem sikerült elég bizonyítékot találni rá, hogy az alkalmazás egy adott bűnszervezet érdekeit szolgálná, és arra sem, hogy adott felhasználói csoportot célozna, bár az érintettek kiterjedtsége figyelemreméltó.
Egy legalább 2013 óta tevékenykedő fenyegetői csoport korábban az AhMyth-ot is használta androidos appokon keresztül indiai katonai és kormányzati személyek lehallgatására. A kódot viszont eddig nem lehetett olyan ismertebb csoportokhoz kötni, mint a Transparent Tribe, APT36, Mythic Leopard, ProjectM vagy Operation C-Major.