MKD-CIRT National Centre for Computer Incident Response
ESET малвер истражувачите пронајдоа нов remote access trojan (RAT) на Google Play Store, скриен во Android апликација за снимање екран со десетици илјади инсталации.
Додека за прв пат беше додадена во продавницата во септември 2021 година, апликацијата „iRecorder – Screen Recorder“ веројатно беше тројанизирана преку малициозно ажурирање објавено речиси една година подоцна, во август 2022 година.
Името на апликацијата го олесни барањето дозвола за снимање аудио и пристап до датотеки на заразените уреди бидејќи барањето се совпаѓа со очекуваните можности на алатката за снимање екран.
Пред нејзиното отстранување, апликацијата собра над 50.000 инсталации на Google Play Store, изложувајќи ги корисниците на инфекции со малициозен софтвер.
„По нашето известување за малициозното однесување на iRecorder, безбедносниот тим на Google Play го отстрани од продавницата“, изјави Lukas Stefanko, ESET малвер истражувач.
„Сепак, важно е да се напомене дека апликацијата може да се најде и на алтернативни и неофицијални Android пазари. Развивачот на iRecorder обезбедува и други апликации на Google Play, но тие не содржат малициозен код.
Малициозен софтвер за кој станува збор, наречен AhRat од страна на ESET, се базира на Android RAT со отворен код, познат како AhMyth.
Има широк опсег на можности, вклучувајќи, но не ограничувајќи се на следење на локацијата на заразените уреди, крадење дневници на повици, контакти и текстуални пораки, испраќање СМС пораки, фотографирање и снимање аудио во позадина.
По внимателно испитување, ESET откри дека самата малициозна апликација за снимање екран користела само подгрупа од RAT можностите бидејќи се користела само за создавање и ексфилтрација на снимки од амбиенталниот звук и за кражба на датотеки со специфични екстензии, навестувајќи потенцијални активности за шпионажа.
Ова не е прв случај на AhMyth-базиран на Android малициозен софтвер кој се инфилтрира во Google Play store. ESET, исто така, објави детали во 2019 година за друга тројанизирана апликација од AhMyth која двапати го измами процесот на проверка на апликациите на Google со тоа што се маскираше во апликација за радио стриминг.
„Претходно, софтверот со отворен код AhMyth беше вработен од Transparent Tribe, исто така познат како APT36, сајбер-шпионажна група позната по својата широка употреба на social engineering техники и таргетирање на владини и воени организации во Јужна Азија“, изјави Stefanko.
„Сепак, не можеме да ги припишеме тековните примероци на некоја специфична група и нема индикации дека тие се произведени од позната advanced persistent threat (APT) група.
Извор: BleepingComputer
