Varnost
25.05.2023 14:55

Deli z drugimi:

Share

Kako je legitimna aplikacija iRecorder za Android v enem letu postala zlonamerna

ESET je kot partner združenja Google App Defense Alliance odkril trojansko aplikacijo iRecorder, ki je bila na voljo v trgovini Google Play.
  • iRecorder 1.3.8 je vseboval trojanski program za oddaljeno dostopanje do naprav Android vrste AhMyth, ki so ga v ESETu poimenovalu AhRat.
  • Na začetku aplikacija iRecorder ni imela nobenih škodljivih funkcij. Precej nenavadno je, da je aplikacija prejela posodobitev z vsebovano zlonamerno kodo kar nekaj mesecev po tem, ko je bila izdana prva različica.
  • Posebno škodljivo vedenje aplikacije, ki vključuje pridobivanje posnetkov iz mikrofona in krajo datotek z določenimi končnicami, potencialno kaže na njeno vpletenost v vohunsko kampanjo.
  • Zlonamerna aplikacija z več kot 50.000 prenosi je bila po opozorilu ESET Research odstranjena iz trgovine Google Play, pri čemer ESET ni odkril AhRata nikjer drugje v medmrežju.

Raziskovalci družbe ESET so odkrili trojansko aplikacijo za Android z imenom iRecorder – Screen Recorder. Ta je bila kot legitimna aplikacija v trgovini Google Play na voljo od septembra 2021, zlonamerna funkcionalnost pa ji je bila najverjetneje dodana avgusta 2022. V času svojega obstoja je bila aplikacija nameščena v več kot 50.000 naprav. Zlonamerna koda, ki je bila dodana v čisto različico aplikacije iRecorder, temelji na odprtokodnem trojanskem programu za Android AhMyth RAT (trojanski konj za oddaljeni dostop) in je bila prilagojena v program, ki so ga v ESET-u poimenovali AhRat. Zlonamerna aplikacija lahko snema zvok z mikrofonom naprave in krade datoteke, kar nakazuje, da bi lahko bila del vohunske kampanje. Raziskava, ki so jo sprožili v ESET Research poleg same trgovine Google Play ni zaznala aplikacije AhRat nikjer drugje v kibernetskem prostoru. Aplikacijo iRecorder je sicer mogoče najti tudi na alternativnih in neuradnih tržnicah za Android, razvijalec pa v Google Play ponuja tudi druge aplikacije, ki pa ne vsebujejo zlonamerne kode.

Kot so navedli v ESET-u, ni prvič, da je bila zlonamerna programska oprema za Android, ki temelji na AhMyth, na voljo v uradni trgovini. Podjetje je že leta 2019 objavilo raziskavo o takšni trojanski aplikaciji. Takrat je vohunska programska oprema, zgrajena na osnovi AhMytha, dvakrat obšla Googlov postopek preverjanja aplikacij, in sicer kot zlonamerna aplikacija, ki je zagotavljala pretakanje radijskih programov.

»Raziskava AhRata je dober primer tega, kako se lahko sprva legitimna aplikacija tudi po več mesecih spremeni v zlonamerno, ki vohuni za uporabniki in ogroža njihovo zasebnost. Možno je, da je razvijalec aplikacije nameraval ustvariti zbirko uporabnikov, preden je s posodobitvijo ogrozil njihove naprave Android, ali da je to spremembo v aplikacijo vnesel zlonamerni akter. Za zdaj nimamo dokazov za nobeno od teh hipotez,« je povedal ESET-ov raziskovalec Lukáš Štefanko, ki je odkril in raziskal grožnjo.

Daljinsko vodeni AhRat predstavlja prilagoditev odprtokodne aplikacije AhMyth RAT, kar pomeni, da so avtorji zlonamerne aplikacije vložili veliko truda v razumevanje kode aplikacije in zaledja ter jo na koncu prilagodili svojim potrebam. Poleg tega, da zlonamerni iRecorder zagotavlja legitimno funkcijo snemanja zaslona, lahko snema tudi okoliški zvok iz mikrofona naprave in ga prenese v napadalčev strežnik za krmiljenje in nadzor. Prav tako lahko iz naprave izsili datoteke s končnicami, ki predstavljajo shranjene spletne strani, slike, zvočne, video in dokumentne datoteke ter formate datotek, ki se uporabljajo za stiskanje več datotek.

Zlonamerna aplikacija je bila po opozorilu iz ESET Research odstranjena iz trgovine Google Play, kar potrjuje, da je za zaščito naprav pred morebitnimi varnostnimi kršitvami še vedno bistvena potreba po zaščiti na več ravneh, kot je ESET Mobile Security.


Prijavi napako v članku

Članek je pripravljen v sodelovanju s partnerjem SI SPLET d.o.o.
Za več informacij so vam na voljo pri SI SPLET d.o.o.
Ob kontaktu povejte, da ste objavo zasledili v Računalniških novicah.

Želite biti obveščeni o novostih, ki jih pripravljamo s partnerjem SI SPLET d.o.o.? Vpišite svoj e-mail in se prijavite na BREZPLAČNE e-novice, od katerih se lahko kadarkoli odjavite.




Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

Zlati partner

XLAB

Pot za brdom 100, 1000 Ljubljana, Tel: 01 244 77 50
XLAB je globalno IT podjetje, osredotočeno na področja oddaljenega namizja (ISL Online), avtomatizacije in upravljanja hibridne infrastrukture (XLAB Steampunk) ter umetne inteligence, napredne ... Več
Zlati partner

RITTAL d.o.o.

Letališka cesta 16, 1000 Ljubljana, Tel: 01 546 63 70
Rittal spodbuja inovacije in živi svoje vrednote To je Rittal. Globalni igralec, vodilni inovator, družinsko podjetje in zgleden delodajalec. Rittal zgodba Prihodnost Rittala se je ... Več
Zlati partner

NEWSROOM SLOVENIJA & ECETERA d.o.o.

Motnica 7a, 1236 Trzin, Tel: 01 600 10 10
Ecetera se je rodila leta 2001. Najprej se je morala spopasti s svojimi prvimi koraki na trgu in se boriti za obstoj v krutem svetu. Iz podjetja je napredovala v podjetje, ki se je ... Več
Zlati partner

COPIA BIRO d.o.o.

Koprska ulica 106b, 1000 Ljubljana, Tel: 01 242 58 00
Podjetje Copia biro d.o.o. je bilo ustanovljeno leta 2012. Od leta 1980 do leta 2012 je delovalo kot sektor v okviru podjetja Copia d.o.o. Leta 2013 so se preselili v poslovne prostore ... Več