ESET meldt dat een Android-app gebruikers heimelijk bespioneerde. iRecorder – Screen Recorder introduceerde kwaadaardige code via een update bijna een jaar na zijn initiële notering op Google Play.
Het onderzoek van ESET bracht aan het licht dat de code de app in staat stelde een minuut aan omgevingsaudio van de microfoon van het toestel te uploaden. Het kon dit elke 15 minuten doen en documenten, webpagina’s en mediabestanden uit de telefoon van de gebruiker halen. Na de onthulling is de app verwijderd van Google Play.
De kwaadaardige code, door ESET AhRat genoemd, is een aangepaste versie van een open-source remote access trojan (RAT) genaamd AhMyth. RAT’s maken gebruik van hun uitgebreide toegang tot het apparaat van een slachtoffer. Ze omvatten vaak functies voor remote control en functioneren op dezelfde manier als spyware en stalkerware.
Meer dan 50.000 downloads
ESET-beveiligingsonderzoeker Lukas Stefanko deelde in een blogpost dat de iRecorder-app geen kwaadaardige functies vertoonde toen hij in september 2021 voor het eerst werd gelanceerd.
Zodra de kwaadaardige AhRat-code echter als een update werd geïntroduceerd bij bestaande gebruikers en nieuwe gebruikers die de app rechtstreeks van Google Play downloadden, kreeg het stiekem toegang tot de microfoon van de gebruiker. Het stuurde de gegevens van de telefoon naar een server die door de exploitant van de malware werd gecontroleerd.
Stefanko merkte op dat de audio-opnames “passen binnen het reeds gedefinieerde app-machtigingsmodel”. De app vereiste inherent toegang tot de microfoon van het toestel vanwege het doel om schermopnames te maken.
Voortdurende strijd tegen oplichting
Het blijft onduidelijk waar de kwaadaardige code vandaan kwam. In feite weten we niet of het door de ontwikkelaar of een derde partij is gedaan. Ook het motief erachter blijft dubieus.
Stefanko suggereerde dat de kwaadaardige code waarschijnlijk deel uitmaakt van een bredere spionagecampagne. In dat geval verzamelen hackers selectief informatie over hun gekozen doelwitten. Deze partijen handelen soms namens overheden of worden gedreven door financiële motieven.
Hij merkte op dat het “ongebruikelijk is dat een ontwikkelaar een legitieme app uploadt, bijna een jaar wacht en deze vervolgens bijwerkt met kwaadaardige code”. Vorig jaar maakte Google bekend dat het had voorkomen dat meer dan 1,4 miljoen privacyschendende apps Google Play bereikten.
Lees ook: Miljoenen telefoons al in de verpakking geïnfecteerd door malware
13 uur geleden
