По речиси една година правилно функционирање и чиста дистрибуција преку Play Store, популарна апликација за снимање на екран на Android ги изневери своите корисници, меѓу другото, и со снимање на нивните повици.

Легитимна апликација за Android стана злонамерна една година по нејзиното објавување

Истражувачите за сајбер безбедност од ESET открија дека апликацијата наречена iRecorder – Screen Recorder, која беше додадена на Play Store во септември 2021 година, пропадна во август 2022 година.

Според извештајот, во годината пред да биде додаден малициозниот код, повеќе од 50.000 луѓе ја преземале апликацијата.

Злонамерниот софтвер што подоцна беше додаден се заснова на тројанецот за далечински пристап AhMyth Android (RAT) со отворен код, но е силно изменет. ESET вели дека оној што го сменил кодот одвоил време да ги разбере и кодот на апликацијата и позадинскиот дел. Истражувачите на ESET го нарекоа малициозниот софтвер AhRat.

Актерите на заканите не се познати, како и нивните мотиви. Но, со оглед на функционалноста на AhRat, сите работи укажуваат на шпионска кампања, велат истражувачите. На крајот на краиштата, покрај функцијата за снимање на екранот (која не е злонамерна), апликацијата може да снима амбиентален звук што го зема микрофонот на крајната точка и да ексфилтрира датотеки како што се зачувани веб-страници, слики, аудио, видео, датотеки со документи и друго.

„Истражувачкиот случај AhRat служи како добар пример за тоа како првично легитимната апликација може да се трансформира во злонамерна, дури и по многу месеци, шпионирајќи ги своите корисници и загрозувајќи ја нивната приватност. Иако е можно развивачот на апликацијата да има намера да изгради база на корисници пред да ги компромитира нивните уреди со Android преку ажурирање или дека злонамерен актер ја вовел оваа промена во апликацијата; засега немаме докази за ниту една од овие хипотези“, рече истражувачот на ESET, Лукаш Стефанко.

Со други зборови, постои мала шанса апликацијата да е преземена од злонамерни актери и да се користи во напад на синџирот на снабдување.

Верзиите на апликацијата iRecorder 1.3.8 и постари не се злонамерни, се вели, но ако во меѓувреме сте ја ажурирале, голема е веројатноста дека сте биле компромитирани. Најлошиот дел е што жртвите дури и не мораа да ѝ дадат дополнителни дозволи на апликацијата. Оттогаш, апликацијата е отстранета од Play Store.