- Als Google App Defense Alliance partner, detecteerde ESET een getrojaniseerde app beschikbaar op de Google Play Store en noemde de op AhMyth gebaseerde malware die het bevatte AhRat.
- Aanvankelijk had de iRecorder-app geen schadelijke functies. Wat vrij ongebruikelijk is, is dat de applicatie een paar maanden na de lancering een update ontving met schadelijke code.
- Het specifieke schadelijke gedrag van de applicatie, waarbij microfoonopnames worden verkregen en bestanden met specifieke extensies worden gestolen, wijst mogelijk op betrokkenheid bij een spionagecampagne.
- De schadelijke app met meer dan 50.000 downloads werd verwijderd van Google Play na de waarschuwing van ESET Research; ESET heeft AhRat nergens anders in het wild gedetecteerd.
Sliedrecht, 23 mei 2023 – ESET-onderzoekers hebben een getrojaniseerde Android app ontdekt met de naam iRecorder - Screen Recorder. iRecorder was beschikbaar in de Google Play Store als legitieme app vanaf september 2021, waarbij de kwaadaardige functionaliteit hoogstwaarschijnlijk in augustus 2022 werd toegevoegd. Gedurende het bestaan van de app werd deze op meer dan 50.000 apparaten geïnstalleerd. De kwaadaardige code die werd toegevoegd aan de schone versie van iRecorder is gebaseerd op de open-source AhMyth Android RAT (remote access trojan) en is aangepast tot wat ESET AhRat heeft genoemd. De uiteindelijk kwaadwillende app kan audio opnemen via de microfoon van het apparaat en bestanden stelen, wat suggereert dat het onderdeel zou kunnen zijn van een spionagecampagne.
Naast de Google Play Store heeft ESET Research nergens anders in het wild AhRat gedetecteerd. Het is echter niet de eerste keer dat op AhMyth gebaseerde Android-malware in de officiële store beschikbaar is; ESET publiceerde eerder onderzoek naar een vergelijkbare getrojaniseerde app in 2019. Toen omzeilde de spyware, 'verkleed' als kwaadaardige app die radiostreaming aanbiedt en gebouwd op de fundamenten van AhMyth, tweemaal het app-doorlichtingsproces van Google. De iRecorder-app is echter ook te vinden op alternatieve en onofficiële Android-markten, en de ontwikkelaar biedt ook andere legitieme applicaties aan op Google Play die geen kwaadaardige code bevatten.
"Het AhRat-onderzoek is een goed voorbeeld van hoe een aanvankelijk legitieme applicatie, na maanden, kan veranderen in een kwaadaardige applicatie die zijn gebruikers bespioneert en hun privacy in gevaar brengt. Hoewel het mogelijk is dat de ontwikkelaar van de app van plan was een klantenbestand op te bouwen alvorens hun Android toestellen via een update of een kwaadwillende actor deze verandering in de app introduceerde; tot nu toe hebben we geen bewijs voor beide hypotheses," verklaart ESET onderzoeker Lukáš Štefanko, die de dreiging ontdekte en onderzocht.
De op afstand aangestuurde AhRat is een aanpassing van de open-source AhMyth RAT, wat betekent dat de auteurs van de kwaadaardige app veel moeite hebben gedaan om de code van zowel de app als de back-end te begrijpen en deze uiteindelijk aan te passen aan hun eigen behoeften.
De kwaadaardige iRecorder biedt niet alleen legitieme schermopnamefunctionaliteit, maar kan ook omringende audio van de microfoon van het apparaat opnemen en uploaden naar de command- en controlserver van de aanvaller. Het kan ook bestanden van het apparaat exfiltreren met extensies die opgeslagen webpagina's, afbeeldingen, audio-, video- en documentbestanden vertegenwoordigen, en bestandsformaten die worden gebruikt voor het comprimeren van meerdere bestanden. Android-gebruikers die een eerdere versie van iRecorder hadden geïnstalleerd (vóór versie 1.3.8), waarin nog geen malafide functies zaten, zouden hun apparaten onbewust hebben blootgesteld aan AhRat bij een update van de app, zelfs zonder verdere toestemming voor de app te geven.
"Gelukkig zijn in Android 11 en hogere versies al preventieve maatregelen tegen dergelijke kwaadwillige acties genomen in de vorm van app-slaapstand. Deze functie plaatst apps die al enkele maanden inactief zijn effectief in een slaapstand, waardoor hun runtime-machtigingen worden gereset en wordt voorkomen dat kwaadwillende apps functioneren zoals bedoeld. De malafide app werd verwijderd van Google Play na onze waarschuwing, wat bevestigt dat de noodzaak om bescherming te bieden via meerdere lagen, zoals ESET Mobile Security, essentieel blijft voor het beveiligen van apparaten tegen potentiële inbreuken," concludeert Štefanko.
ESET Research heeft nog geen concreet bewijs gevonden dat de toeschrijving van deze activiteit aan een bepaalde campagne of APT-groep mogelijk maakt. Voor meer technische informatie over de kwaadaardige iRecorder app en AhRat, bekijk de blogpost "Android app breaking bad: From legitimate screen recording to file exfiltration within a year" op WeLiveSecurity en volg ESET Research op Twitter voor het laatste nieuws.
Al meer dan 3 decennia ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten om bedrijven, kritieke infrastructuur en consumenten wereldwijd te beschermen tegen steeds complexere digitale bedreigingen. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf uit de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Evoluerende bedreigingen vereisen een evoluerend IT-beveiligingsbedrijf dat veilig gebruik van technologie mogelijk maakt. Dit wordt ondersteund door ESETs R&D centra wereldwijd, die zich inzetten voor onze gezamenlijke toekomst. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook, Instagram en Twitter.