Kolejna aplikacja z Google Play szpiegowała użytkowników Androida

Użytkownicy Androida po raz kolejny stali się celem inwigilacji przez hakerów. Posłużyła do tego aplikacja iRecorder, która nagrywała wszystko co działo się wokół telefonu, a następnie przekazywała przestępcom.

Android już od dawna nie jest bezpiecznym systemem operacyjnym i mimo wysiłków Google, użytkownicy smartfonów nie są już odpowiednio chronieni. Amerykański koncern niechętnie porusza ten temat, jednak jego zabezpieczenia w oficjalnym sklepie Google przestały się do czegokolwiek nadawać, gdyż co chwila przepuszczają złośliwe aplikacje.

Firma ESET donosi o kolejnym zagrożeniu dla użytkowników, ze strony aplikacji iRecorder Screen Recorder. Cyberprzestępcy wykorzystali ją do nagrywania wszystkiego co słychać wokół telefonu, a następnie przesyłania plików audio na własne serwery.

iRecorder, który ma na koncie ponad 50 tys. pobrań, pojawił się w Google Play w 2021 i początkowo był legalną aplikacją zapisującą wszystko co dzieje się na ekranie telefonu. Okazało się jednak, że wersja 1.3.8 udostępniona w sierpniu 2022 roku, ma już zupełnie inną funkcjonalność. Eksperci wykryli w niej trojana o nazwie AhRat, bazującego na specjalnie zmodyfikowanym malware AhMyth Android RAT. Jest to trojan ze zdalnym dostępem.

Złośliwy kod wykorzystywał wbudowany w telefon mikrofon, by nagrywać wszystkie dźwięki. Mógł więc podsłuchiwać wszystkie rozmowy toczone w pobliżu smartfona. Oprócz tego trojan wykradał z telefonu pliki o określonych rozszerzeniach. Chodziło o pliki związane ze stronami internetowymi, obrazami, plikami audio i wideo oraz dokumentami.

Wykradane dane oraz zapisane pliki audio, w 15 minutowych interwałach aplikacja przesyłała następnie na specjalne serwery, otrzymując z nich dalsze instrukcje działania. Analiza wykazała, że trojan mógł wykonywać 18 poleceń, jak zrzut ekranu, lokalizacja, logi połączeń, keyloger, przechwytywanie SMS’ów itp.. Wykorzystywał jednak tylko 6 z nich, czyli upload określonych plików

Eksperci uważają, że takie działanie aplikacji sugeruje, iż jest ona częścią kampanii szpiegowskiej. Nie udało się jednak przypisać jej do żadnych konkretnej grupy hakerskiej.