- ESET ako partner Google App Defense Alliance odhalil škodlivú aplikáciu dostupnú v obchode Google Play a pomenoval malvér založený na trojane pre vzdialený prístup AhMyth, ktorý obsahovala, ako AhRat.
- Pôvodne aplikácia iRecorder neobsahovala žiadne škodlivé funkcie. Nezvyčajné je, že aplikácia obdržala aktualizáciu so škodlivým kódom až niekoľko mesiacov po jej spustení.
- Špecifické škodlivé správanie vrátane vynášania nahrávok z mikrofónu a kradnutia súborov v špecifických formátoch naznačuje, že aplikácia môže byť súčasťou špionážnej kampane.
- Škodlivá aplikácia s viac ako 50 000 stiahnutiami bola odstránená z obchodu Google Play po upozornení spoločnosti ESET. Jej výskumníci zároveň malvér AhRat nezaznamenali nikde inde v reálnom prostredí.
Výskumníci spoločnosti ESET odhalili škodlivú Android aplikáciu s názvom iRecorder – Screen Recorder, ktorá bola dostupná ako legitímna aplikácia v obchode Google Play od septembra 2021, pričom škodlivé funkcie boli do nej pridané pravdepodobne v auguste 2022. Počas svojej existencie bola aplikácia nainštalovaná do viac ako 50 000 zariadení. Škodlivý kód, ktorý bol pridaný do neškodnej verzie softvéru iRecorder, je založený na open-source AhMyth Android trojane pre vzdialený prístup (RAT) a bol špeciálne upravený do malvéru, ktorý ESET nazval AhRat. Škodlivá aplikácia dokáže nahrávať zvuk prostredníctvom mikrofónu na zariadení a kradnúť súbory, čo naznačuje, že môže byť súčasťou špionážnej kampane.
Okrem obchodu Google Play výskumníci spoločnosti ESET nezaznamenali malvér AhRat nikde inde v reálnom prostredí. Nejde však o prvý prípad, keď bol Android malvér založený na AhMyth dostupný v oficiálnom obchode. ESET zverejnil podobný výskum už v roku 2019. Spyvéru založenom na trojane AhMyth sa vtedy podarilo dvakrát obísť kontrolný proces aplikácií v prestrojení za softvér na poskytovanie rádiového vysielania. Aktuálne nájdená aplikácia iRecorder sa nachádza aj na alternatívnych neoficiálnych Android obchodoch. Vývojárska spoločnosť tiež ponúka na Google Play iné aplikácie, no neobsahujú škodlivý kód.
„Prípad AhRat slúži ako dobrý príklad toho, ako sa môže pôvodne legitímna aplikácia premeniť na škodlivú a to dokonca po niekoľkých mesiacoch, keď začne špehovať svojich používateľov a narúšať ich súkromie. Aj keď je možné, že vývojári aplikácie chceli najprv vybudovať širokú bázu používateľov a až potom skompromitovať ich zariadenia prostredníctvom aktualizácie, alebo majú na svedomí transformáciu útočníci, nemáme dôkazy ani pre jednu z týchto hypotéz,“ vysvetľuje Lukáš Štefanko, výskumník spoločnosti ESET, ktorý odhalil a analyzoval túto hrozbu.
Na diaľku ovládaný malvér AhRat je modifikáciou open-source trojanu pre vzdialený prístup AhMyth RAT. Znamená to, že autori škodlivej aplikácie venovali veľké úsilie pochopeniu kódu aplikácie aj backendu, pričom si ich prispôsobili pre vlastné potreby.
Okrem poskytovania legitímnej funkcionality na nahrávanie obrazovky, dokáže iRecorder zaznamenávať okolitý zvuk prostredníctvom mikrofónu na zariadení a nahrávať ho na riadiaci server útočníka. Taktiež dokáže kradnúť súbory v špecifických formátoch predstavujúcich uložené webstránky, obrázky, zvuk, video, dokumentové súbory a formáty použité na kompresiu viacerých súborov.
Aj používatelia, ktorí si nainštalovali neškodné skoršie verzie aplikácie iRecorder (pred verziou 1.3.8), nevedomky vystavili svoje zariadenia malvéru AhRat. Stačilo, ak si manuálne alebo automaticky aktualizovali aplikáciu. Aplikácii dokonca nemuseli udeliť žiadne ďalšie povolenia.
„Našťastie, proti takýmto škodlivým operáciám už boli nasadené preventívne opatrenia do systému Android 11 a vyšších verzií a to vo forme hibernácie aplikácií. Táto funkcia účinne uvádza aplikácie, ktoré boli niekoľko mesiacov nečinné, do stavu hibernácie, čím sa resetujú ich runtime povolenia a škodlivým aplikáciám sa zabráni fungovať tak, ako zamýšľali útočníci. Škodlivá aplikácia bola po našom upozornení z Google Play odstránená. Tento prípad potvrdzuje, že potreba ochrany mobilných zariadení prostredníctvom viacerých vrstiev, akou je napríklad bezpečnostný softvér ESET Mobile Security, je naďalej nevyhnutná pre zabezpečenie zariadení pred možným narušením bezpečnosti," uzatvára Štefanko.
Viac technických informácií nájdete v našom špeciálnom blogu na stránke WeLiveSecurity. Najnovšie odhalenia našich výskumníkov nájdete na Twitteri ESET research.
O spoločnosti ESET
Už viac ako 30 rokov vyvíja spoločnosť ESET popredný softvér a služby zamerané na IT bezpečnosť a ochranu podnikov, kritickej infraštruktúry a domácností z celého sveta pred čoraz sofistikovanejšími digitálnymi hrozbami. V rámci širokej škály riešení určených pre koncové a mobilné zariadenia až po šifrovanie a dvojúrovňové overovanie prináša ESET svojim zákazníkom vysokovýkonné a zároveň jednoducho použiteľné produkty, ktoré chránia bez zbytočného rušenia 24 hodín denne, pričom ochranné mechanizmy sa aktualizujú v reálnom čase, aby boli používatelia vždy v bezpečí a firemná prevádzka mohla fungovať bez prerušení. Keďže hrozby sa neustále vyvíjajú, na svojom vývoji musí pracovať aj IT bezpečnostná spoločnosť, ktorá chce napomáhať k bezpečnému používaniu technológií. Na tomto cieli a podpore lepšej spoločnej budúcnosti pracuje spoločnosť ESET prostredníctvom svojich centier výskumu a vývoja v rôznych kútoch sveta. Viac informácií nájdete na stránke www.eset.sk, prípadne nás môžete sledovať na sociálnych sieťach LinkedIn, Facebook a Twitter.