Una popolare app per Android ha iniziato a spiare segretamente i suoi utenti mesi dopo essere stata pubblicata su Google Play
Una società di sicurezza informatica afferma che una popolare app di registrazione dello schermo Android che ha accumulato decine di migliaia di download sull'app store di Google ha successivamente iniziato a spiare i suoi utenti, anche rubando registrazioni del microfono e altri documenti dal telefono dell'utente.
La ricerca di ESET ha rilevato che l'app per Android, "iRecorder — Screen Recorder", ha introdotto il codice dannoso come aggiornamento dell'app quasi un anno dopo la sua prima pubblicazione su Google Play.
Il codice, secondo ESET, consentiva all'app di caricare furtivamente un minuto di audio ambientale dal microfono del dispositivo ogni 15 minuti, nonché di esfiltrare documenti, pagine Web e file multimediali dal telefono dell'utente.
L'app non è più elencata in Google Play.
Se hai installato l'app, dovresti eliminarla dal tuo dispositivo.
Quando l'app dannosa è stata ritirata dall'app store, aveva accumulato più di 50.000 download.
ESET sta chiamando il codice dannoso AhRat, una versione personalizzata di un trojan di accesso remoto open source chiamato AhMyth.
I trojan di accesso remoto (o RAT) sfruttano l'ampio accesso al dispositivo di una vittima e spesso possono includere il controllo remoto, ma funzionano anche in modo simile a spyware e stalkerware.
Uno screenshot di iRecorder elencato in Google Play poiché è stato memorizzato nella cache nell'Internet Archive nel 2022.
Crediti immagine: TechCrunch (screenshot) Lukas Stefanko, un ricercatore di sicurezza presso ESET che ha scoperto il malware, ha dichiarato in un post sul blog che l'app iRecorder non conteneva funzionalità dannose quando è stata lanciata per la prima volta nel settembre 2021.
Una volta che il codice AhRat dannoso è stato inviato come aggiornamento dell'app agli utenti esistenti (e ai nuovi utenti che avrebbero scaricato l'app direttamente da Google Play), l'app ha iniziato ad accedere furtivamente al microfono dell'utente e a caricare il i dati del telefono dell'utente a un server controllato dall'operatore del malware.
Stefanko ha affermato che la registrazione audio "rientra nel modello di autorizzazioni dell'app già definito", dato che l'app è stata progettata per natura per catturare le registrazioni dello schermo del dispositivo e avrebbe chiesto di ottenere l'accesso al microfono del dispositivo.
Non è chiaro chi abbia inserito il codice dannoso, se lo sviluppatore o qualcun altro, o per quale motivo.
TechCrunch ha inviato un'e-mail all'indirizzo e-mail dello sviluppatore che era nell'elenco dell'app prima che fosse ritirato, ma non ha ancora ricevuto risposta.
Stefanko ha affermato che il codice dannoso fa probabilmente parte di una più ampia campagna di spionaggio, in cui gli hacker lavorano per raccogliere informazioni su obiettivi di loro scelta, a volte per conto di governi o per motivi finanziari.
Ha detto che era "raro per uno sviluppatore caricare un'app legittima, attendere quasi un anno e poi aggiornarla con codice dannoso".
Non è raro che app dannose entrino negli app store, né è la prima volta che AhMyth si fa strada su Google Play.
Sia Google che Apple controllano le app alla ricerca di malware prima di elencarle per il download e talvolta agiscono in modo proattivo per estrarre le app quando potrebbero mettere a rischio gli utenti.
L'anno scorso, Google ha dichiarato di aver impedito a più di 1,4 milioni di app che violano la privacy di raggiungere Google Play.
Dietro la rete di stalkerware che diffonde i dati del telefono privato di centinaia di migliaia di persone Una popolare app Android ha iniziato a spiare segretamente i suoi utenti mesi dopo essere stata elencata su Google Play da Zack Whittaker originariamente pubblicata su TechCrunch