Μια δημοφιλής εφαρμογή Android άρχισε να κατασκοπεύει κρυφά τους χρήστες της μήνες μετά την έγκρισή της στο Google Play
Related Posts
Μια εταιρεία κυβερνοασφάλειας λέει ότι μια δημοφιλής εφαρμογή εγγραφής οθόνης Android που συγκέντρωσε δεκάδες χιλιάδες λήψεις στο κατάστημα εφαρμογών της Google άρχισε στη συνέχεια να κατασκοπεύει τους χρήστες της, συμπεριλαμβανομένης της κλοπής εγγραφών μικροφώνου και άλλων εγγράφων από το τηλέφωνο του χρήστη.
Έρευνα της ESET διαπίστωσε ότι η εφαρμογή Android, «iRecorder — Screen Recorder», παρουσίασε τον κακόβουλο κώδικα ως ενημέρωση εφαρμογής σχεδόν ένα χρόνο μετά την πρώτη καταχώρισή του στο Google Play. Ο κώδικας, σύμφωνα με την ESET, επέτρεπε στην εφαρμογή να ανεβάζει κρυφά ένα λεπτό ήχου περιβάλλοντος από το μικρόφωνο της συσκευής κάθε 15 λεπτά, καθώς και να εξάγει έγγραφα, ιστοσελίδες και αρχεία πολυμέσων από το τηλέφωνο του χρήστη.
Η εφαρμογή είναι
δεν αναφέρεται πλέον
στο Google Play. Εάν έχετε εγκαταστήσει την εφαρμογή, θα πρέπει να τη διαγράψετε από τη συσκευή σας. Μέχρι τη στιγμή που η κακόβουλη εφαρμογή αποσύρθηκε από το κατάστημα εφαρμογών, είχε συγκεντρώσει περισσότερες από 50.000 λήψεις.
Η ESET καλεί τον κακόβουλο κώδικα AhRat, μια προσαρμοσμένη έκδοση ενός trojan απομακρυσμένης πρόσβασης ανοιχτού κώδικα που ονομάζεται AhMyth. Τα trojan απομακρυσμένης πρόσβασης (ή RAT) εκμεταλλεύονται την ευρεία πρόσβαση στη συσκευή του θύματος και συχνά μπορούν να περιλαμβάνουν τηλεχειριστήριο, αλλά λειτουργούν παρόμοια με το λογισμικό υποκλοπής spyware και το stalkerware.
Ένα στιγμιότυπο οθόνης του iRecorder που παρατίθεται στο Google Play όπως αποθηκεύτηκε στην προσωρινή μνήμη στο Αρχείο Διαδικτύου το 2022.
Συντελεστές εικόνας:
TechCrunch (στιγμιότυπο οθόνης)
Ο Lukas Stefanko, ερευνητής ασφάλειας στην ESET που ανακάλυψε το κακόβουλο λογισμικό,
είπε σε ανάρτηση στο blog
ότι η εφαρμογή iRecorder δεν περιείχε κακόβουλες λειτουργίες όταν πρωτοκυκλοφόρησε τον Σεπτέμβριο του 2021.
Μόλις ο κακόβουλος κώδικας AhRat προωθήθηκε ως ενημέρωση εφαρμογής σε υπάρχοντες χρήστες (και νέους χρήστες που θα κατέβαζαν την εφαρμογή απευθείας από το Google Play), η εφαρμογή άρχισε να έχει κρυφά πρόσβαση στο μικρόφωνο του χρήστη και να ανεβάζει τα δεδομένα τηλεφώνου του χρήστη σε έναν διακομιστή που ελέγχεται από το κακόβουλο λογισμικό. χειριστής. Ο Stefanko είπε ότι η ηχογράφηση «ταίριαζε στο ήδη καθορισμένο μοντέλο αδειών εφαρμογής», δεδομένου ότι η εφαρμογή ήταν από τη φύση της σχεδιασμένη να καταγράφει τις εγγραφές οθόνης της συσκευής και θα ζητούσε να της παραχωρηθεί πρόσβαση στο μικρόφωνο της συσκευής.
Δεν είναι σαφές ποιος τοποθέτησε τον κακόβουλο κώδικα —είτε ο προγραμματιστής είτε από κάποιον άλλον— ή για ποιο λόγο. Το TechCrunch έστειλε email στη διεύθυνση email του προγραμματιστή που βρισκόταν στην καταχώριση της εφαρμογής πριν από την απόσυρσή της, αλλά δεν έχει λάβει ακόμη απάντηση.
Ο Στεφάνκο είπε ότι ο κακόβουλος κώδικας είναι πιθανότατα μέρος μιας ευρύτερης εκστρατείας κατασκοπείας – όπου οι χάκερ εργάζονται για να συλλέξουν πληροφορίες για στόχους της επιλογής τους – μερικές φορές για λογαριασμό κυβερνήσεων ή για λόγους με οικονομικά κίνητρα. Είπε ότι «ήταν σπάνιο για έναν προγραμματιστή να ανεβάσει μια νόμιμη εφαρμογή, να περιμένει σχεδόν ένα χρόνο και μετά να την ενημερώσει με κακόβουλο κώδικα».
Δεν είναι ασυνήθιστο οι κακές εφαρμογές να γλιστρούν στα καταστήματα εφαρμογών, ούτε είναι η πρώτη φορά που το AhMyth
παρέσυρε τον δρόμο του
στο Google Play. Τόσο η Google όσο και η Apple προβάλλουν τις εφαρμογές για κακόβουλο λογισμικό πριν τις καταχωρήσουν για λήψη και μερικές φορές ενεργούν προληπτικά για να τραβήξουν εφαρμογές όταν ενδέχεται να θέσουν τους χρήστες σε κίνδυνο. Πέρυσι, η Google
είπε
εμπόδισε περισσότερες από 1,4 εκατομμύρια εφαρμογές που παραβιάζουν το απόρρητο να φτάσουν στο Google Play.
