Дослідники компанії ESET виявили заражений троянською програмою додаток для Android, який був доступний у Google Play і мав понад 50 тисяч завантажень. Додаток під назвою iRecorder – Screen Recorder спочатку був завантажений до Google Play без шкідливого функціоналу у вересні 2021 року. Зараження, ймовірно, сталося пізніше в серпні 2022 року у версії 1.3.8.
В ESET повідомили, що як партнер Google App Defense Alliance вони виявили троянізований додаток, який був доступний у Google Play Store. Цю шкідливу програму назвали AhRat на основі відкритого програмного забезпечення AhMyth.
Спочатку додаток iRecorder не мав жодних шкідливих функцій. Цікавим є те, що додаток отримав оновлення, яке містить шкідливий код, вже після його випуску. Після цього iRecorder почав вилучати записи з мікрофона і красти файли зі специфічними розширеннями. Це могло свідчити про спробу шпигунства. Додаток був вилучений із Google Play.
Ситуація, коли розробник завантажує легітимний додаток і через рік виходить оновлення зі шкідливим кодом, є малопоширеною. Доданий до чистої версії iRecorder шкідливий код базується на відкритому AhMyth Android RAT (троян із віддаленим доступом).
Крім цього випадку, ніде в інших місцях AhRat виявлено не було. Однак це не перший випадок, коли в Google Play завантажували шкідливе програмне забезпечення для Android на основі AhMyth. У 2019 році шпигунське програмне забезпечення – додаток для відтворення радіо на основі AhMyth – двічі пройшло процес перевірки програм Google.
Опис додатка
Шкідливий додаток iRecorder може записувати звук оточення з мікрофона пристрою і завантажувати його на сервер команд та управляння зловмисника. Також він може викрадати файли з розширеннями, що представляють збережені вебсторінки, зображення, аудіо, відео й документи, а також формати файлів, які використовуються для стиснення декількох файлів.
Конкретна шкідлива поведінка додатка – витягування записів із мікрофона та крадіжка файлів зі специфічними розширеннями – свідчить про його участь у кампанії шпигунства. Однак в ESET не змогли визначити конкретну хакерську групу.