Egy alkalmazás, amelyet több tízezren töltöttek le a Google Play Áruházból, 15 percenként titokban rögzítette a közelben lévő hangot, és elküldte azt az alkalmazás fejlesztőjének – közölte az ESET biztonsági cég kutatója.
Az iRecorder Screen Recorder nevű app 2021 szeptemberében kezdte pályafutását a Play Áruházban, mint egy jóindulatú alkalmazás, amely lehetővé tette a felhasználóknak, hogy rögzítsék androidos készülékük képernyőjét – írta Lukas Stefanko, az ESET kutatója egy múlt heti bejegyzésében. Tizenegy hónappal később frissítették, hogy teljesen új funkciókat adjanak hozzá. Ez magában foglalta azt a képességet, hogy távolról bekapcsolja az eszköz mikrofonját és hangot rögzítsen. A felvételeket más érzékeny adatokkal együtt egy távoli szerverre töltötte fel az app.
A titkos kémkedési funkciókat az AhMyth kódjának felhasználásával valósították meg, amely egy nyílt forráskódú RAT (távoli hozzáférésű trójai), amit az elmúlt években számos más Android-alkalmazásba építettek be. Miután ezt hozzáadták az iRecorderhez, a korábban jóindulatú alkalmazás minden felhasználója olyan frissítéseket kapott, amelyek lehetővé tették, hogy a telefonjuk rögzítse a közelben lévő hangot, és azt egy titkosított csatornán keresztül elküldje egy, a fejlesztő által kijelölt szerverre.
Az alkalmazás 15 percenként készített ilyen hangfelvételeket, amelyek 1 percesek voltak, mindezt természetesen a felhasználó tudta nélkül. Mire felfedezték a rosszindulatú tevékenységet, már 50 ezernél is többen telepítették az appot.
Ami még aggasztóbb, hogy Stefanko elmondása szerint AhMyth-tartalmú alkalmazások csúsztak már át a Google szűrőin korábban is, tehát más applikációk is tartalmazhatnak ilyesmit a Play Áruházban.
Forrás: ArsTechnica
