O iRecorder Screen Recorder, um aplicativo amplamente baixado no Android, recebeu uma atualização há pouco menos de um ano que permite gravar áudio secretamente a cada 15 minutos. Segundo um pesquisador de segurança, esse novo recurso malicioso foi incorporado por meio de um cavalo de Tróia.
Baixado mais de 50.000 vezes na Play Store desde setembro de 2021, o iRecorder Screen Recorder se apresenta como um aplicativo inofensivo que permite aos usuários gravar a tela de seus dispositivos Android. Uma atualização onze meses depois adicionou um recurso radicalmente novo e problemático: o aplicativo recebeu a capacidade de acionar remotamente o microfone do smartphone para gravar som, é claro, sem a permissão do usuário. O aplicativo então se conecta a um servidor controlado por hackers e envia áudio gravado e outros arquivos confidenciais armazenados no dispositivo.
De aplicativo útil a ferramenta de espionagem completa
Esses recursos de espionagem descobertos por Lucas Stefanko, um pesquisador de segurança da ESET, foram implementados usando o código do AhMyth, um Trojan de código aberto que foi incluído em vários outros aplicativos Android nos últimos anos. Depois que o Trojan foi adicionado ao iRecorder, todos os usuários do aplicativo receberam atualizações que permitem que seus telefones gravem áudio remotamente e encaminhem esses dados para um servidor designado pelo desenvolvedor por meio de um canal criptografado. Este novo Trojan modificado presente no iRecorder foi apelidado de AhRat.
Segundo Lukas Stefanko, o malware foi instruído a gravar um minuto de áudio a cada 15 minutos e enviá-lo ao servidor comando e controle (C&C) do atacante. A descoberta de um aplicativo malicioso que registra ativamente um número tão grande de vítimas e envia seu áudio para hackers é bastante incomum. O pesquisador sugere que o iRecord pode fazer parte de uma campanha ativa de espionagem, mas ainda não conseguiu determinar se é esse o caso.
Stefanko também notou que os dispositivos infectados com AhRat receberam ordens para exfiltrar arquivos com extensões representando páginas da web, imagens, áudio, vídeo e arquivos de documentos. Os arquivos exfiltrados foram limitados a 20 MB de tamanho, mas ainda são muitos dados.
” A pesquisa do AhRat serve como um bom exemplo de como um aplicativo inicialmente legítimo pode se transformar em um aplicativo malicioso, mesmo depois de muitos meses, espionando seus usuários e comprometendo sua privacidade. escreve o pesquisador. ” É possível que o desenvolvedor do aplicativo tenha pretendido criar uma base de usuários antes de comprometer seus dispositivos Android por meio de uma atualização ou que um ator mal-intencionado tenha introduzido essa alteração no aplicativo. ‘application ; até agora, não temos evidências para nenhuma dessas hipóteses “.