En un descubrimiento reciente, investigadores de ESET han revelado que se ha descubierto que una popular aplicación de grabación de pantalla de Android, iRecorder – Screen Recorder, espía a los usuarios y roba datos.
Inicialmente disponible en Google Play como aplicación legítima en septiembre de 2021, parece que la funcionalidad maliciosa se agregó en agosto de 2022.
Sorprendentemente, durante su existencia, la aplicación logró llegar a más de 50.000 dispositivos.
Código malicioso
El código malicioso incrustado en iRecorder, conocido como AhRat, se basa en el RAT (troyano de acceso remoto) de Android AhMyth de código abierto y, según se informa, ha sido personalizado para fines nefastos, como grabación de audio no autorizada y robo de archivos, lo que indica una posible participación en espionaje. actividades, según ESET.
Si bien ESET Research no ha detectado AhRat fuera de Google Play Store, la compañía de software señaló que esta no es la primera instancia de malware para Android basado en AhMyth que se encuentra en la tienda oficial.
En 2019, ESET había publicado previamente una investigación sobre una aplicación troyanizada basada en AhMyth, que logró eludir el proceso de investigación de aplicaciones de Google disfrazándose de una aplicación maliciosa que ofrece transmisión de radio.
Sin embargo, ESET agregó que la aplicación iRecorder también está disponible en mercados alternativos y no oficiales de Android, pero las versiones legítimas no contienen ningún código malicioso.
“El caso de investigación de AhRat sirve como un buen ejemplo de cómo una aplicación inicialmente legítima puede transformarse en una maliciosa, incluso después de muchos meses, espiando a sus usuarios y comprometiendo su privacidad.” dicho Lukáš Štefanko, investigador de ESET, quien descubrió y analizó la amenaza.
“Si bien es posible que el desarrollador de la aplicación haya tenido la intención de crear una base de usuarios antes de comprometer sus dispositivos Android mediante una actualización o que un actor malicioso haya introducido este cambio en la aplicación, hasta ahora no tenemos evidencia de ninguna de estas hipótesis. ”
El malware AhRat, derivado del código abierto AhMyth RAT, demuestra un nivel significativo de sofisticación, según ESET.
Además de su funcionalidad legítima de grabación de pantalla, los investigadores señalan que la aplicación iRecorder puede grabar audio subrepticiamente desde el micrófono del dispositivo y cargarlo en el servidor de comando y control del atacante.
Además, supuestamente puede extraer varios tipos de archivos, incluidas páginas web guardadas, imágenes, archivos de audio, vídeo y documentos, que luego se transmiten desde el dispositivo comprometido.
Expuesto sin saberlo
“Los usuarios de Android que instalaron una versión anterior de iRecorder (anterior a la versión 1.3.8), que carecía de funciones maliciosas, habrían expuesto sin saberlo sus dispositivos a AhRat si posteriormente actualizaran la aplicación de forma manual o automática, incluso sin permitir ninguna aplicación adicional. aprobación del permiso”, escribieron los investigadores de ESET.
Android 11 y versiones superiores introducen la hibernación de aplicaciones, una medida preventiva que desactiva las aplicaciones inactivas, restablece sus permisos y evita que funcionen aplicaciones maliciosas.
Si bien ESET Research no ha identificado la campaña específica o el grupo APT detrás de esta actividad, se puede encontrar información detallada en la publicación del blog de ESET en “La aplicación de Android se está volviendo mala: desde la grabación de pantalla legítima hasta la exfiltración de archivos en un año” en WeLiveSecurity.
Si ha instalado la aplicación iRecorder, se recomienda encarecidamente eliminarla de su dispositivo. La aplicación fue eliminada de Google Play, pero antes de su eliminación, había acumulado más de 50.000 descargas, lo que indica un número significativo de usuarios potencialmente afectados.
ⓒ 2023 . .
