Δημοφιλής εφαρμογή Android άρχισε να «κατασκοπεύει» κρυφά τους χρήστες της μήνες μετά την καταχώρισή της στο Google Play
Share
Μια εταιρεία κυβερνοασφάλειας έκανε γνωστό πρόσφατα ότι μια δημοφιλής εφαρμογή εγγραφής οθόνης Android που είχε συγκεντρώσει δεκάδες χιλιάδες λήψεις στο ψηφιακό κατάστημα εφαρμογών της Google άρχισε στη συνέχεια να «κατασκοπεύει» τους χρήστες της, συμπεριλαμβανομένης της κλοπής εγγραφών μικροφώνου και άλλων εγγράφων από το τηλέφωνο του χρήστη.
Έρευνα της ESET διαπίστωσε ότι η εφαρμογή Android, “iRecorder — Screen Recorder”, εισήγαγε τον κακόβουλο κώδικα ως ενημέρωση εφαρμογής σχεδόν ένα χρόνο μετά την πρώτη εισαγωγή της στο Google Play. Ο κώδικας, σύμφωνα με την ESET, επέτρεπε στην εφαρμογή να ανεβάζει κρυφά έναν ήχο περιβάλλοντος («ambient sound») για ένα λεπτό από το μικρόφωνο της συσκευής κάθε 15 λεπτά, καθώς και να απομακρύνει έγγραφα, ιστοσελίδες και αρχεία πολυμέσων από το τηλέφωνο του χρήστη.
Η εφαρμογή δεν εμφανίζεται πλέον στο Google Play. Εάν έχετε εγκαταστήσει την εφαρμογή, θα πρέπει να τη διαγράψετε από τη συσκευή σας. Μέχρι τη στιγμή που η κακόβουλη εφαρμογή αποσύρθηκε από το ψηφιακό κατάστημα εφαρμογών, είχε συγκεντρώσει περισσότερες από 50.000 λήψεις.
Η ESET ονομάζει τον κακόβουλο κώδικα AhRat, μια προσαρμοσμένη έκδοση ενός trojan απομακρυσμένης πρόσβασης ανοιχτού κώδικα που ονομάζεται AhMyth. Τα trojans απομακρυσμένης πρόσβασης (ή RATs) εκμεταλλεύονται την ευρεία πρόσβαση στη συσκευή ενός θύματος και συχνά περιλαμβάνουν απομακρυσμένο έλεγχο, αλλά λειτουργούν επίσης παρόμοια με spyware και stalkerware.
Ο Lukas Stefanko, ερευνητής ασφάλειας στην ESET που ανακάλυψε το κακόβουλο λογισμικό, δήλωσε σε μια ανάρτηση στο blog ότι η εφαρμογή iRecorder δεν περιείχε κακόβουλα χαρακτηριστικά όταν πρωτοκυκλοφόρησε τον Σεπτέμβριο του 2021.
Μόλις ο κακόβουλος κώδικας AhRat προωθήθηκε ως ενημέρωση εφαρμογής σε υπάρχοντες χρήστες (και νέους χρήστες που θα κατέβαζαν την εφαρμογή απευθείας από το Google Play), η εφαρμογή άρχισε να έχει κρυφή πρόσβαση στο μικρόφωνο του χρήστη και να ανεβάζει τα δεδομένα τηλεφώνου του χρήστη σε διακομιστή που ελέγχεται από τον χειριστή του κακόβουλου λογισμικού. Ο Stefanko δήλωσε ότι η ηχογράφηση “ταιριάζει στο ήδη καθορισμένο μοντέλο αδειών εφαρμογής”, δεδομένου ότι η εφαρμογή σχεδιάστηκε από τη φύση της για να καταγράφει τις εγγραφές οθόνης της συσκευής και θα ζητούσε να της δοθεί πρόσβαση στο μικρόφωνο της συσκευής.
Δεν είναι σαφές ποιος «φύτεψε» τον κακόβουλο κώδικα – αν ο προγραμματιστής ή από κάποιον άλλο – ή για ποιο λόγο.
Ο Stefanko δήλωσε ότι ο κακόβουλος κώδικας πιθανόν να είναι μέρος μιας ευρύτερης εκστρατείας κατασκοπείας – όπου οι χάκερ εργάζονται για να συλλέξουν πληροφορίες σχετικά με στόχους της επιλογής τους – μερικές φορές για λογαριασμό κυβερνήσεων ή για οικονομικούς λόγους. Είπε ότι ήταν «σπάνιο για έναν προγραμματιστή να ανεβάσει μια νόμιμη εφαρμογή, να περιμένει σχεδόν ένα χρόνο και στη συνέχεια να την ενημερώσει με κακόβουλο κώδικα».
Δεν είναι ασυνήθιστο για κακόβουλες εφαρμογές να «εισέρχονται» στα ψηφιακά καταστήματα εφαρμογών, ούτε είναι η πρώτη φορά που το AhMyth έχει παρεισφρήσει στο Google Play. Τόσο η Google όσο και η Apple ελέγχουν τις εφαρμογές για κακόβουλο λογισμικό πριν τις καταχωρίσουν για λήψη και μερικές φορές ενεργούν προληπτικά αποσύροντας εφαρμογές όταν ενδέχεται να θέσουν τους χρήστες σε κίνδυνο. Πέρυσι, η Google δήλωσε ότι εμπόδισε περισσότερες από 1,4 εκατομμύρια εφαρμογές που παραβιάζουν το απόρρητο να φτάσουν στο Google Play.
Πηγή: techcrunch.com
ΔΚ
