Οι ερευνητές της ESET βρήκαν ένα νέο RAT malware στο Google Play Store, κρυμμένο στην Android εφαρμογή “iRecorder – Screen Recorder“, για εγγραφή οθόνης. Η εφαρμογή είχε δεκάδες χιλιάδες εγκαταστάσεις. Οι ερευνητές ονόμασαν το malware “AhRat“.
Η εφαρμογή “iRecorder – Screen Recorder” εισήχθη για πρώτη φορά στο κατάστημα τον Σεπτέμβριο του 2021, αλλά πιθανότατα έγινε κακόβουλη μέσω μιας ενημέρωσης που κυκλοφόρησε σχεδόν ένα χρόνο αργότερα, τον Αύγουστο του 2022.
Το όνομα και ο σκοπός της εφαρμογής διευκόλυνε τους κακόβουλους προγραμματιστές να ζητήσουν από τους χρήστες άδεια για εγγραφή ήχου και πρόσβαση σε αρχεία.
Δείτε επίσης: Στο Google Play εντοπίστηκε το νέο Fleckpe Android malware
Η εφαρμογή είχε συγκεντρώσει πάνω από 50.000 εγκαταστάσεις στο Google Play Store, αλλά μετά την αναφορά των ερευνητών αφαιρέθηκε από το κατάστημα εφαρμογών.
“Μετά την ειδοποίησή μας σχετικά με την κακόβουλη συμπεριφορά του iRecorder, η ομάδα ασφαλείας του Google Play το αφαίρεσε από το κατάστημα“, δήλωσε ο ερευνητής κακόβουλου λογισμικού της ESET, Lukas Stefanko.
Σύμφωνα με το BleepingComputer, ένας εκπρόσωπος της Google είπε σχετικά: “Όταν βρίσκουμε εφαρμογές που παραβιάζουν τις πολιτικές μας, λαμβάνουμε τα κατάλληλα μέτρα. Οι χρήστες προστατεύονται επίσης από το Google Play Protect, το οποίο μπορεί να προειδοποιεί για εντοπισμένες κακόβουλες εφαρμογές σε συσκευές Android”.
Ωστόσο, οι ερευνητές λένε ότι η κακόβουλη εφαρμογή iRecorder – Screen Recorder μπορεί επίσης να βρεθεί σε εναλλακτικές και ανεπίσημες αγορές Android.
“Ο προγραμματιστής του iRecorder παρέχει και άλλες εφαρμογές στο Google Play, αλλά δεν περιέχουν κακόβουλο κώδικα“, είπε ο Stefanko.
Δείτε επίσης: Το XWorm malware εκμεταλλεύεται την ευπάθεια Follina στις νέες επιθέσεις
Το AhRat malware βασίζεται σε ένα Android RAT ανοιχτού κώδικα γνωστό ως AhMyth. Έχει ένα ευρύ φάσμα δυνατοτήτων, όπως, παρακολούθηση της τοποθεσίας των μολυσμένων συσκευών, κλοπή αρχείων καταγραφής κλήσεων, επαφών και μηνυμάτων κειμένου, αποστολή μηνυμάτων SMS, λήψη φωτογραφιών και εγγραφή ήχου στο παρασκήνιο.
Μετά από προσεκτικότερη εξέταση, η ESET διαπίστωσε ότι η ίδια η κακόβουλη εφαρμογή iRecorder – Screen Recorder χρησιμοποιούσε μόνο ένα υποσύνολο των δυνατοτήτων του RAT, καθώς χρησιμοποιήθηκε μόνο για τη δημιουργία και την εξαγωγή εγγραφών ήχου και για την κλοπή αρχείων με συγκεκριμένες επεκτάσεις.
Δεν είναι η πρώτη φορά που ένα Android malware που βασίζεται στο AhMyth, διεισδύει στο Google Play store. Το 2019, η ESET είχε κάνει λόγο για μια άλλη εφαρμογή που ξεγέλασε τη διαδικασία ελέγχου εφαρμογών της Google δύο φορές και πέρασε στο κατάστημα.
“Προηγουμένως, το ανοιχτού κώδικα AhMyth χρησιμοποιήθηκε από την Transparent Tribe, γνωστή και ως APT36, μια ομάδα κυβερνοκατασκοπείας γνωστή για την εκτεταμένη χρήση τεχνικών κοινωνικής μηχανικής που στοχεύει κυβερνητικούς και στρατιωτικούς οργανισμούς στη Νότια Ασία“, είπε ο Stefanko. “Ωστόσο, δεν μπορούμε να αποδώσουμε τα τρέχοντα δείγματα σε κάποια συγκεκριμένη ομάδα και δεν υπάρχουν ενδείξεις ότι παράγονται από μια γνωστή ομάδα απειλών (APT)”.
Δείτε επίσης: Κλωνοποιημένοι ιστότοποι CapCut διασπείρουν malware κλοπής πληροφορίων
Όπως και να έχει τα Android malware είναι μια σοβαρή απειλή που μπορεί να προκαλέσει σημαντική ζημιά στο smartphone σας. Είναι σημαντικό να είστε προσεκτικοί κατά τη λήψη και εγκατάσταση εφαρμογών στο τηλέφωνό σας για να προστατεύσετε τη συσκευή σας. Εάν υποψιάζεστε ότι η συσκευή σας έχει μολυνθεί από κακόβουλο λογισμικό, αναλάβετε αμέσως δράση πραγματοποιώντας σάρωση προστασίας από ιούς ή αναζητώντας επαγγελματική βοήθεια.
Πηγή: www.bleepingcomputer.com
 στο Google Play Store, κρυμμένο στην Android εφαρμογή "iRecorder - Screen Recorder",){kind=link}