Autori škodlivej aplikácie iRecorder venovali veľké úsilie pochopeniu kódu aplikácie a jej zabezpečeniu, pričom si ju prispôsobili pre vlastné potreby.FOTO: Eset
StoryEditor

Kradla fotky i rôzne súbory. Android aplikácia sa po roku premenila na špionážny softvér

24.05.2023, 13:53
Autor:
ahgahg
  • Pôvodne aplikácia iRecorder neobsahovala žiadne škodlivé funkcie.
  • Špecifické škodlivé správanie vrátane vynášania nahrávok z mikrofónu a kradnutia súborov v istých formátoch naznačuje, že aplikácia môže byť súčasťou špionážnej kampane.
  • Škodlivú aplikáciu s viac ako 50-tisíc stiahnutiami už odstránili z obchodu Google Play.

Výskumníci spoločnosti Eset odhalili škodlivú Android aplikáciu s názvom iRecorder – Screen Recorder, ktorá bola dostupná ako legitímna aplikácia v obchode Google Play od septembra 2021. Jej pôvodnou úlohou bolo nahrávať obrazovku i zvuk. Škodlivé funkcie boli do nej pridané pravdepodobne v auguste 2022.

Tisíce stiahnutí

Počas svojej existencie bola aplikácia nainštalovaná do viac ako 50-tisíc zariadení. Škodlivý kód, ktorý bol pridaný do neškodnej verzie softvéru iRecorder, je založený na open-source AhMyth Android trojane pre vzdialený prístup a bol špeciálne upravený do malvéru, ktorý výskumníci nazvali AhRat.

Škodlivá aplikácia dokáže nahrávať zvuk prostredníctvom mikrofónu na zariadení a kradnúť súbory, čo naznačuje, že môže byť súčasťou špionážnej kampane. Okrem obchodu Google Play Eset nezaznamenal malvér AhRat nikde inde.

image

Dajte si pozor pri inštalácii aplikácie Telegram. Nová kybernetická hrozba cieli na používateľov Androidu

Nejde o prvý prípad, keď bol Android malvér založený na AhMyth dostupný v oficiálnom obchode. Niečo podobné sa stalo už v roku 2019. Škodlivému kódu sa vtedy podarilo dvakrát obísť kontrolný proces aplikácií v prestrojení za softvér na poskytovanie rádiového vysielania.

Aktuálne nájdená aplikácia iRecorder sa nachádza aj v alternatívnych neoficiálnych Android obchodoch. Vývojárska spoločnosť Coffeeholic Dev, ktorá stojí za iRecorder aplikáciou tiež ponúka na Google Play iné aplikácie, no tie podľa Esetu neobsahujú škodlivý kód.

image

Nebezpečná aplikácia iRecorder v obchode s aplikáciami Google Play

FOTO: Welivesecurity.com

„Prípad AhRat slúži ako dobrý príklad toho, ako sa môže pôvodne legitímna aplikácia premeniť na škodlivú a to dokonca po niekoľkých mesiacoch, keď začne špehovať svojich používateľov a narúšať ich súkromie. Aj keď je možné, že vývojári aplikácie chceli najprv vybudovať širokú bázu používateľov a až potom skompromitovať ich zariadenia prostredníctvom aktualizácie, alebo majú na svedomí transformáciu útočníci, nemáme dôkazy ani pre jednu z týchto hypotéz,“ vysvetľuje Lukáš Štefanko, výskumník spoločnosti Eset, ktorý odhalil a analyzoval túto hrozbu.

Útočníci sa naozaj snažili

Autori škodlivej aplikácie venovali veľké úsilie pochopeniu kódu aplikácie a jej zabezpečeniu, pričom si to prispôsobili pre vlastné potreby. Okrem poskytovania legitímnej funkcionality na nahrávanie obrazovky, dokáže iRecorder zaznamenávať okolitý zvuk prostredníctvom mikrofónu na zariadení a nahrávať ho na riadiaci server útočníka.

Taktiež dokáže kradnúť súbory v špecifických formátoch predstavujúcich obrázky, zvuk, video, dokumentové súbory a formáty použité na kompresiu viacerých súborov.

Aj používatelia, ktorí si nainštalovali neškodné skoršie verzie aplikácie iRecorder pred verziou 1.3.8, nevedomky vystavili svoje zariadenia malvéru AhRat. Stačilo, ak si manuálne alebo automaticky aktualizovali aplikáciu. Aplikácii dokonca nemuseli udeliť žiadne ďalšie povolenia.

image

Slováci sa nepoučili, kyberútoky prudko vzrástli. Pozor si dajte najmä v jednom bode

„Našťastie, proti takýmto škodlivým operáciám už boli nasadené preventívne opatrenia do systému Android 11 a vyšších verzií a to vo forme hibernácie aplikácií. Táto funkcia účinne uvádza aplikácie, ktoré boli niekoľko mesiacov nečinné, do stavu hibernácie, čím sa resetujú ich runtime povolenia a škodlivým aplikáciám sa zabráni fungovať tak, ako zamýšľali útočníci. Škodlivá aplikácia bola po našom upozornení z Google Play odstránená,“ dodáva Štefanko.

Tento prípad potvrdzuje, že potreba ochrany mobilných zariadení prostredníctvom viacerých vrstiev je naďalej nevyhnutná pre zabezpečenie zariadení pred možným narušením bezpečnosti. Príkladom sú rôzne bezpečnostné softvéry pre vaše mobilné zariadenia. 

Pripomíname, že slovenská spoločnosť Eset je partnerom aliancie Google App Defense Alliance, ktorá sa stará o dobrú kondíciu aplikácií v obchode Google Play. Zameriava sa na ochranu používateľov tak, že bráni hrozbám dostať sa do ich zariadení a zlepšuje kvalitu aplikácií v celom ekosystéme.

01 - Modified: 2023-05-23 15:00:00 - Feat.: 1 - Title: Aj Apple sa má za čo hanbiť. V týchto momentoch s iPhonnmi šliapol úplne vedľa 02 - Modified: 2023-05-20 22:01:00 - Feat.: 1 - Title: Parašutistovi vypadol z vrecka iPhone. Padal zo štvorkilometrovej výšky 03 - Modified: 2023-05-17 22:01:00 - Feat.: 1 - Title: Nerobte to, lebo iPhony v Európe zakážeme. EÚ varuje Apple dopredu 04 - Modified: 2023-05-14 07:39:06 - Feat.: 1 - Title: Telefóny od Sony stále žijú. Aktuálne prichádza ich vlajková loď s pomerne odvážnou sumou 05 - Modified: 2023-05-12 22:01:00 - Feat.: 1 - Title: Obrovská vec pre Google: konečne má svoj prvý skladací telefón 06 - Modified: 2023-05-11 23:06:12 - Feat.: 1 - Title: Používateľov telefónov s Androidom čakajú tieto zmeny. Pozrite, čo si Google prichystal pre váš smartfón
01 - Modified: 2024-12-16 07:43:34 - Feat.: - Title: Správy zo Slovensko.sk v mobile a bez čítačky sú tu! 02 - Modified: 2024-11-22 15:00:00 - Feat.: - Title: Zruší Google jeden svoj operačný systém? Na vine by boli tablety 03 - Modified: 2024-11-19 15:00:00 - Feat.: - Title: Príde možno už na jar. Android 16 bude predstavený skôr než obvykle 04 - Modified: 2024-10-27 09:47:13 - Feat.: - Title: Kyberzločinci môžu využiť nákupy v hrách na krádež identity, varuje Eset 05 - Modified: 2024-10-24 17:29:22 - Feat.: - Title: Svet podvodu sa zmenil, kriminálnikov kreditky nezaujímajú. Na Slovákov skúšajú čoraz prešibanejšie spôsoby
menuLevel = 2, menuRoute = style/tech, menuAlias = tech, menuRouteLevel0 = style, homepage = false
20. december 2024 01:25