iRecorder – Screen Recorder bola legitímna aplikácia pre Android dostupná na stiahnutie z obchodu Google Play. Jeho účel je jasný už z názvu. Až do augusta 2022 to bolo všetko: umožnilo vám nahrávať obrazovku. Aktualizácia však poskytla iRecorderu právomoci, ktoré ho zmenili na špionážny nástroj. iRecorder dostal možnosť používať mikrofón na zachytávanie zvukových údajov každých 15 minút. Umožnil tiež tvorcovi sťahovať určité typy súborov z telefónu.
Tech. Zábava. Veda. Vaša doručená pošta.
Prihláste sa k odberu najzaujímavejších noviniek v oblasti technológií a zábavy.
Prihlásením súhlasím s Podmienky používania a skontrolovali Oznámenie o ochrane osobných údajov.
Po tom, čo výskumníci spoločnosti ESET zistili jeho schopnosti škodlivého softvéru, Google odstránil aplikáciu z Obchodu Play. Stále ho však môžete mať nainštalovaný v telefóne a/alebo tablete s Androidom. Preto by ste ho mali čo najrýchlejšie vymazať.
To, čo je na aplikácii záhadné, je správanie vývojára. „Je zriedkavé, že vývojár nahrá legitímnu aplikáciu, čaká takmer rok a potom ju aktualizuje škodlivým kódom,“
Napísali výskumníci spoločnosti ESET v blogovom príspevku.Vývojár vydal iRecorder v septembri 2021. Aktualizácia umožňujúca malvér prišla nasledujúci august a unikla bezpečnostným kontrolám obchodu Google Play. ESET tvrdí, že aktualizácia z augusta 2022 bola založená na „open source AhMyth Android RAT (trójsky kôň pre vzdialený prístup) a bola prispôsobená tomu, čo sme nazvali AhRat.
Po aktualizácii si iRecorder zachoval svoje pôvodné funkcie. Má však aj možnosť nahrávať okolitý zvuk z mikrofónu a odosielať súbory na príkazový a riadiaci server. Aplikácia tiež hľadala rôzne typy súborov, ktoré potom nahrala na server. Zoznam obsahuje uložené webové stránky, obrázky, zvuk, video a dokumenty.
„Špecifické škodlivé správanie aplikácie – exfiltrácia nahrávok z mikrofónu a krádež súborov špecifické rozšírenia – má tendenciu naznačovať, že ide o súčasť špionážnej kampane,“ vedci povedal. "Aplikáciu sme však nedokázali priradiť žiadnej konkrétnej škodlivej skupine." Tím ESET tiež tvrdí, že nikde inde nezistil AhRat.
Augustová aktualizácia implementovala iba súbor potenciálnych špionážnych funkcií. Ako extrahovanie zvukových nahrávok a iných súborov. Vedci však zistili, že iné škodlivé funkcie neboli povolené.
iRecorder získal iba 50 000 stiahnutí z Obchodu Play. Nie je jasné, kto mohol byť jeho cieľ alebo ciele.
ESET poukazuje na ochrannú funkciu v systéme Android 11 a neskôr, ktorá mohla zabrániť aplikácii, aby vás špehovala. Režim hibernácie aplikácií prepne spiace aplikácie do stavu hibernácie, čím sa obnovia povolenia a zabráni sa fungovaniu škodlivých aplikácií. Aplikácia však musí byť niekoľko mesiacov neaktívna, aby sa spustili ochrany.
V každom prípade spoločnosť Google odstránila aplikáciu škodlivého softvéru a všetky aplikácie ktorý vývojár Coffeeholic Dev nahral do Obchodu Play. Zo všetkých ich aplikácií mal iba iRecorder škodlivé funkcie.
Ak máte stále nainštalovaný iRecorder, mali by ste ho okamžite odstrániť zo svojich zariadení. Aj keď je to verzia, ktorá predchádza verzii 1.3.8 z minulého augusta, ktorá v tichosti umožnila špionážne funkcie.
Ak chcete zistiť, či vám aplikácia neukradla citlivé údaje, možno budete musieť na túto prácu najať bezpečnostných expertov. Uistite sa, že čítate Správa spoločnosti ESET ak si tiež myslíte, že ste mohli byť cieľom.