Запропонувати статтю right arrow icon
Запропонувати статтю right arrow icon
Запропонувати статтю right arrow icon
  • Головна
  • Новини
  • В Google Play виявили заражений трояном додаток iRecorder – Screen Recorder зі шкідливим AhRat
ProIT: медіа для профі в IT
Приблизно хвилину

В Google Play виявили заражений трояном додаток iRecorder – Screen Recorder зі шкідливим AhRat

author avatar ProIT NEWS

Дослідники компанії ESET виявили заражений троянською програмою додаток для Android, який був доступний у Google Play і мав понад 50 тисяч завантажень. Додаток під назвою iRecorder – Screen Recorder спочатку був завантажений до Google Play без шкідливого функціоналу у вересні 2021 року. Зараження, ймовірно, сталося пізніше в серпні 2022 року у версії 1.3.8.

В ESET повідомили, що як партнер Google App Defense Alliance вони виявили троянізований додаток, який був доступний у Google Play Store. Цю шкідливу програму назвали AhRat на основі відкритого програмного забезпечення AhMyth.

Спочатку додаток iRecorder не мав жодних шкідливих функцій. Цікавим є те, що додаток отримав оновлення, яке містить шкідливий код, вже після його випуску. Після цього iRecorder почав вилучати записи з мікрофона і красти файли зі специфічними розширеннями. Це могло свідчити про спробу шпигунства. Додаток був вилучений із Google Play.

Ситуація, коли розробник завантажує легітимний додаток і через рік виходить оновлення зі шкідливим кодом, є малопоширеною. Доданий до чистої версії iRecorder шкідливий код базується на відкритому AhMyth Android RAT (троян із віддаленим доступом).

Крім цього випадку, ніде в інших місцях AhRat виявлено не було. Однак це не перший випадок, коли в Google Play завантажували шкідливе програмне забезпечення для Android на основі AhMyth. У 2019 році шпигунське програмне забезпечення – додаток для відтворення радіо на основі AhMyth – двічі пройшло процес перевірки програм Google.

Опис додатка

Шкідливий додаток iRecorder може записувати звук оточення з мікрофона пристрою і завантажувати його на сервер команд та управляння зловмисника. Також він може викрадати файли з розширеннями, що представляють збережені вебсторінки, зображення, аудіо, відео й документи, а також формати файлів, які використовуються для стиснення декількох файлів.

Конкретна шкідлива поведінка додатка – витягування записів із мікрофона та крадіжка файлів зі специфічними розширеннями – свідчить про його участь у кампанії шпигунства. Однак в ESET не змогли визначити конкретну хакерську групу.

Приєднатися до company logo
Продовжуючи, ти погоджуєшся з умовами Публічної оферти та Політикою конфіденційності.

Контакти: +38066-423-39-13 info@proit.org.ua