A pesquisa da ESET descobriu que o aplicativo Android, “iRecorder — Screen Recorder”, introduziu o código malicioso como uma atualização de aplicativo quase um ano depois de ter sido listado pela primeira vez no Google Play. O código, de acordo com a ESET, permitia que o aplicativo carregasse furtivamente um minuto de áudio ambiente do microfone do dispositivo a cada 15 minutos, além de exfiltrar documentos, páginas da web e arquivos de mídia do telefone do usuário.
O aplicativo não está mais listado no Google Play. Se você instalou o aplicativo, deve excluí-lo do seu dispositivo. No momento em que o aplicativo malicioso foi retirado da loja de aplicativos, ele havia acumulado mais de 50.000 downloads.
A ESET está chamando o código malicioso de AhRat, uma versão personalizada de um trojan de acesso remoto de código aberto chamado AhMyth. Os trojans de acesso remoto (ou RATs) aproveitam o amplo acesso ao dispositivo da vítima e geralmente podem incluir controle remoto, mas também funcionam de maneira semelhante a spyware e stalkerware .
Lukas Stefanko, pesquisador de segurança da ESET que descobriu o malware, disse em uma postagem no blog que o aplicativo iRecorder não continha recursos maliciosos quando foi lançado em setembro de 2021.
Depois que o código AhRat malicioso foi enviado como uma atualização de aplicativo para usuários existentes (e novos usuários que baixariam o aplicativo diretamente do Google Play), o aplicativo começou a acessar furtivamente o microfone do usuário e a enviar os dados do telefone do usuário para um servidor controlado pelo malware. operador. Stefanko disse que a gravação de áudio “se encaixa no modelo de permissões do aplicativo já definido”, uma vez que o aplicativo foi projetado por natureza para capturar as gravações da tela do dispositivo e solicitaria acesso ao microfone do dispositivo.
Não está claro quem plantou o código malicioso – seja o desenvolvedor ou outra pessoa – ou por qual motivo. O TechCrunch enviou um e-mail para o endereço de e-mail do desenvolvedor que estava na listagem do aplicativo antes de ser retirado, mas ainda não recebeu resposta.
Stefanko disse que o código malicioso provavelmente faz parte de uma campanha de espionagem mais ampla – onde os hackers trabalham para coletar informações sobre alvos de sua escolha – às vezes em nome de governos ou por motivos financeiros. Ele disse que era “raro um desenvolvedor fazer upload de um aplicativo legítimo, esperar quase um ano e atualizá-lo com código malicioso”.
Não é incomum que aplicativos ruins cheguem às lojas de aplicativos, nem é a primeira vez que o AhMyth entra no Google Play. Tanto o Google quanto a Apple examinam aplicativos em busca de malware antes de listá-los para download e, às vezes, agem proativamente para extrair aplicativos quando eles podem colocar os usuários em risco. No ano passado, o Google disse que impediu que mais de 1,4 milhão de aplicativos que violam a privacidade chegassem ao Google Play.
Fonte leia mais: https://techcrunch.com/2023/05/29/popular-android-app-microphone-spying-google-play/
