O tym, że w Sklepie Play czają się niebezpieczne aplikacje i trzeba ich unikać, wie już chyba każdy. Jak się jednak chronić przed sytuacjami, gdy sprawdzona, bezpieczna i dobrze oceniana apka staje się nagle narzędziem szpiegowskim?
Eksperci od bezpieczeństwa z firmy ESET odkryli, że zdobywająca popularność wśród użytkowników Androida aplikacja do nagrywania ekranu, która doczekała się dziesiątek tysięcy pobrań ze sklepu Google Play, po jednej z aktualizacji zamieniła się w prawdziwe narzędzie szpiegowskie. Podsłuchiwała przez mikrofon użytkowników i przechwytywała dokumenty z ich telefonów.
Chodzi o aplikację „iRecorder - Screen Recorder”. Choć może nie była to szczególnie popularna pozycja ze sklepu Google Play, bo zdobyła dopiero ponad 50 tysięcy pobrań, to jednak cała sytuacja pokazuje ciekawy mechanizm. Otóż badacze z ESET odkryli, że twórca aplikacji dodał do niej złośliwy kod jako aktualizację, co nastąpiło prawie rok po jej debiucie w Google Play we wrześniu 2021 roku. Przez ten czas iRecorder zdobywał zaufanie użytkowników oraz dobre oceny.
Wszystko zmieniło się w połowie 2022 roku, gdy do aplikacji dodany został złośliwy kod zidentyfikowany przez ESET jako AhRat, spersonalizowana wersja trojana AhMyth, który pozwala uzyskać złoczyńcom zdalny dostęp do urządzeń. W iRecorderze kod pozwalał aplikacji co kwadrans, ukradkiem przesyłać minutę dźwięku otoczenia z mikrofonu smartfonu, a do tego przeglądać dokumenty i pliki multimedialne na urządzeniu oraz obserwować, jakie strony internetowe przeglądał jego właściciel.
Przez kilka miesięcy po feralnej aktualizacji aplikacja prowadziła działalność szpiegowską niezauważona, choć nieznane są rozmiary tego procederu i kto na tym skorzystał. Jej pierwotne zastosowanie, czyli nagrywanie ekranu, wymagało przyznania dostępu do mikrofonu, co nie budziło wątpliwości, podobnie zapis nagrań wymagał dostępu do pamięci. Te uprawnienia po aktualizacji zostały jednak wykorzystane do niecnych celów.
Badacze z firmy ESET oceniają, że dodanie złośliwego kodu do tej aplikacji mogło być częścią szerszej kampanii szpiegowskiej, w której hakerzy zbierali informacje o wybranych przez siebie celach. Mogli działać w imieniu rządów lub mieć motywację finansową. Zdaniem ESET, rzadko się zdarza, że deweloper przesyła do sklepu bezpieczną aplikację, czeka prawie rok, a następnie aktualizuje ją złośliwym kodem. Na szczęście iRecorder został już usunięty z Google Play.
Zobacz: Zasadzka w Google. Polacy zagrożeni utratą oszczędności
Zobacz: Telefony z Androidem zagrożone. Tak można się do nich włamać
Źródło zdjęć: Shutterstock, ESET
Źródło tekstu: Techcrunch, ESET
