• En tant que partenaire de Google App Defense Alliance, ESET a détecté une application disponible sur Google Play Store contenant un cheval de Troie, et a nommé AhRat le malware basé sur AhMyth qu’elle contenait.
• L’application iRecorder ne présentait initialement aucune caractéristique malveillante. Fait assez rare, l’application a reçu une mise à jour contenant du code malveillant plusieurs mois après son lancement.
• Le comportement malveillant spécifique de l’application, qui consiste à extraire des enregistrements audio et voler des fichiers avec des extensions spécifiques, indique potentiellement son implication dans une campagne d’espionnage.
• L’application malveillante, qui a été téléchargée plus de 50 000 fois, a été supprimée de Google Play après la notification de la part d’ESET Research. ESET n’a détecté AhRat que dans cette application.
Les chercheurs d’ESET ont découvert une application Android nommée iRecorder - Screen Recorder contenant un cheval de Troie. Elle était disponible sur Google Play en tant qu’application légitime en septembre 2021, et la fonctionnalité malveillante a été vraisemblablement ajoutée en août 2022. Au cours de son existence, l’application a été installée sur plus de 50 000 appareils. Le code malveillant ajouté à la version propre d’iRecorder est basé sur le cheval de Troie d’accès à distance open source AhMyth Android, et a été personnalisé pour devenir ce qu’ESET a appelé AhRat. L’application malveillante est capable d’enregistrer des données audio à l’aide du microphone de l’appareil et voler des fichiers, ce qui laisse penser qu’elle pourrait faire partie d’une campagne d’espionnage.
Outre dans Google Play Store, ESET Research n’a détecté AhRat nulle part ailleurs. Cependant, ce n’est pas la première fois que des malwares Android basés sur AhMyth sont disponibles dans l’app store officiel. ESET a déjà publié des études sur une telle application en 2019. À l’époque, le logiciel espion développé sur les fondations d’AhMyth, avait contourné à deux reprises le processus de vérification des applications de Google, sous la forme d’une application malveillante permettant d’écouter la radio en streaming. L’application iRecorder est également disponible sur des marchés Android alternatifs et non officiels, et le développeur fournit également d’autres applications sur Google Play, mais elles ne contiennent pas de code malveillant.
« Le cas d’AhRat est un bon exemple de la façon dont une application initialement légitime peut se transformer en une application malveillante, même après de nombreux mois, pour espionner ses utilisateurs et compromettre leur confidentialité. Il est possible que le développeur de l’application ait eu l’intention de constituer une base d’utilisateurs avant de compromettre leurs appareils Android via une mise à jour ou qu’un acteur malveillant ait introduit cette modification dans l’application. Jusqu’à présent, nous n’avons aucune preuve quant à ces hypothèses, » explique Lukáš Štefanko, le chercheur chez ESET qui a découvert et étudié la menace.
AhRat est une adaptation du cheval de Troie d’accès à distance open source AhMyth, ce qui signifie que les auteurs de l’application malveillante ont investi des efforts considérables dans la compréhension du code de l’application et du back-end, pour finalement l’adapter à leurs propres besoins.
Outre la fonction légitime d’enregistrement d’écran, la version malveillante d’iRecorder est capable d’enregistrer le son environnant du microphone de l’appareil et le transmettre au serveur de commande et de contrôle de l’attaquant. Elle peut également exfiltrer de l’appareil des fichiers dont les extensions représentent des pages web sauvegardées, des images, des fichiers audio et vidéo, des documents, ainsi que des formats de fichiers utilisés pour compresser plusieurs fichiers.
Les utilisateurs d’Android qui ont installé une version antérieure d’iRecorder (avant la version 1.3.8), dépourvue de toute fonction malveillante, auraient exposé sans le savoir leur appareil à AhRat s’ils avaient ensuite mis à jour l’application manuellement ou automatiquement, même sans accorder d’autres autorisations.
« Heureusement, des mesures préventives contre de telles actions malveillantes ont déjà été mises en œuvre dans Android 11 et les versions ultérieures sous la forme d’une mise en veille des applications. Cette fonction met en hibernation les applications dormantes depuis plusieurs mois, réinitialisant ainsi leurs autorisations d’exécution et empêchant les applications malveillantes de fonctionner comme prévu. L’application malveillante a été retirée de Google Play après notre notification, ce qui confirme qu’une protection multicouche comme ESET Mobile Security reste essentielle pour protéger les appareils contre les failles de sécurité potentielles, » conclut M. Štefanko.
ESET Research n’a pas encore trouvé de preuves concrètes permettant d’attribuer cette activité à une campagne particulière ou à un groupe de pirates.
Pour plus d’informations techniques sur l’application malveillante iRecorder et AhRat, consultez l’article « Android app breaking bad: From legitimate screen recording to file exfiltration within a year » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.
Darina SANTAMARIA - +33 01 55 89 08 88 - darina.j@eset-nod32.fr
À propos d'ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique pour protéger le patrimoine numérique des entreprises, les infrastructures critiques et les consommateurs du monde entier contre des cybermenaces. Nous protégeons les terminaux fixes et mobiles, les outils collaboratifs et assurons la détection et le traitement des incidents. Établi dans le monde entier, nos centres de R&D récoltent et analysent les cybermenaces pour protéger nos clients et notre monde numérique.