Google удаляет приложение для записи экрана Android, шпионящее за пользователями с помощью троянца удаленного доступа

Недавно Google удалил из Play Store зараженное трояном приложение для Android, которое было установлено более чем на 50 000 устройств. По данным охранной фирмы, обнаружившей трояна, приложение было впервые загружено разработчиком в 2021 году, а год спустя заражено вредоносным кодом. Приложение также могло извлекать и загружать файлы пользователей, обнаруживая расширения для аудио, видео и веб-страниц. Хотя приложение было удалено из Play Store, пользователям, которые его загрузили, придется вручную удалить приложение со своих устройств.

Согласно отчету, опубликованному исследователями ESET, приложение iRecorder было впервые загружено в Play Store в сентябре 2019 года без каких-либо вредоносных функций. Почти год спустя приложение было заражено открытым исходным кодом AhMyth Android RAT (троян удаленного доступа) в варианте, который исследователи назвали AhRat. Пользователи, которые обновили приложение или загрузили его впервые с августа 2022 года, будут иметь зараженное приложение на своем устройстве.

Приложение iRecorder скачали более 50 000 раз в магазине Google Play.
Фото: Скриншот / ESET

Хотя первоначальная версия приложения не имела каких-либо вредоносных функций, ESET заявляет, что позже оно было обновлено с помощью кода, который позволял ему совершать злонамеренные действия, включая запись окружающего звука и звука с использованием микрофона телефона. Затем эти записи могут быть загружены на сервер управления и контроля (C&C) злоумышленника. Приложение также могло извлекать файлы с определенными расширениями, такие как видео, аудио, изображения, веб-страницы, документы и сжатые файлы.

Исследователи ESET объясняют, что AhMyth RAT — это очень мощный инструмент, который может извлекать текстовые сообщения, журналы вызовов и контакты на телефоне пользователя при записи звука, захвате изображений, отслеживании местоположения устройства и создании списка всех файлов на смартфоне. .

Поведение приложения предполагает, что троян AhRat мог использоваться как часть шпионской кампании, по мнению исследователей, которые не смогли отнести его к какой-либо группе продвинутых постоянных угроз (APT). Между тем, ESET сообщает, что оригинальный AhMyth RAT с открытым исходным кодом ранее использовался кибершпионской группой APT36, широко известной как Transparent Tribe, для нападения на правительственные и военные организации в Южной Азии.

После того, как ESET пометила вредоносный код в приложении iRecorder для Google, это приложение было удалено из магазина Google Play. Приложение уже было загружено 50 000 раз, согласно списку на момент его удаления. Пользователи, которые установили или обновили приложение после того, как оно было заражено, должны будут удалить его вручную, чтобы удалить зараженное приложение со своих смартфонов.