Nel panorama delle applicazioni Android, è emerso un nuovo caso di spyware nascosto in un’app molto popolare. Un’applicazione di registrazione dello schermo, che ha accumulato oltre 50.000 download su Google Play, è stata infettata da un trojan tramite un aggiornamento l’anno scorso, come riporta la società di cybersecurity ESET.
Da App inoffensiva a pericoloso spyware
L’applicazione in questione, ‘iRecorder – Screen Recorder’, è stata inizialmente pubblicata su Google Play nel settembre 2021, senza alcuna funzionalità dannosa. Quando è stata aggiornata alla versione 1.3.8 nell’agosto dello scorso anno, il trojan basato su AhMyth, chiamato AhRat, è stato iniettato nell’app.
Secondo ESET, il trojan AhRat, che non è stato osservato altrove, può registrare l’audio utilizzando il microfono ed esfiltrare le registrazioni e altri file dai dispositivi infetti, suggerendo il suo utilizzo in una campagna di spionaggio.
AhMyth è un RAT multi-piattaforma precedentemente utilizzato da APT36, un attore di minaccia sponsorizzato dallo stato legato al Pakistan, noto anche come Transparent Tribe e Mythic Leopard, ma l’AhRat osservato in questo incidente non potrebbe essere collegato a nessun attore di minaccia avanzato persistente (APT) conosciuto.
Funzionalità dannose di AhRat
La prima versione dannosa di iRecorder conteneva parti non modificate del codice dannoso di AhMyth RAT. La seconda versione conteneva il codice personalizzato di AhRat, riferisce ESET.
Entrambe le versioni includevano solo un insieme limitato di funzionalità dannose rispetto ad AhMyth RAT, che può esfiltrare registri delle chiamate, contatti e messaggi, inviare messaggi, tracciare la posizione del dispositivo, ottenere un elenco di file sul dispositivo, registrare audio e scattare foto.
Dato che forniva la possibilità di registrare video, iRecorder aveva i permessi necessari per registrare l’audio e accedere ai file sul dispositivo, consentendo al malware di funzionare senza problemi.
In base ai comandi ricevuti dal suo server di comando e controllo (C&C), il malware poteva esfiltrare file audio e video, documenti, pagine web e file di archivio.
“Non abbiamo prove che lo sviluppatore dell’app abbia intenzionalmente accumulato una base di utenti prima di compromettere i loro dispositivi Android attraverso un aggiornamento o che un attore malintenzionato abbia introdotto questo cambiamento nell’app”, conclude ESET.