Google đã xóa một ứng dụng quay phim màn hình có tên "iRecorder - Screen Recorder" khỏi Play Store sau khi nó bị phát hiện lén lút đánh cắp thông tin gần một năm sau khi ứng dụng được xuất bản dưới dạng một ứng dụng vô hại.
Ứng dụng (tên gói APK "com.tsoft.app.iscreenrecorder"), đã tích lũy được hơn 50.000 lượt cài đặt, được tải lên lần đầu vào ngày 19 tháng 9 năm 2021. Chức năng độc hại được cho là đã xuất hiện trong phiên bản 1.3.8 được phát hành vào ngày 24 tháng 8 năm 2022.
"Rất hiếm khi một nhà phát triển tải lên một ứng dụng hợp pháp, đợi gần một năm và sau đó cập nhật nó bằng mã độc", nhà nghiên cứu bảo mật ESET Lukáš Štefanko cho biết trong một báo cáo kỹ thuật.
"Mã độc được thêm vào phiên bản sạch của iRecorder dựa trên mã nguồn mở AhMyth Android RAT (trojan truy cập từ xa) và đã được tùy chỉnh thành cái mà chúng tôi đặt tên là AhRat."
iRecorder lần đầu tiên bị nhà phân tích bảo mật của Kaspersky, Igor Golovin, gắn cờ là chứa trojan AhMyth vào ngày 28 tháng 10 năm 2022, cho thấy rằng ứng dụng này đã cố gắng duy trì khả năng truy cập mọi lúc và thậm chí đã nhận được bản cập nhật mới vào ngày 26 tháng 2 năm 2023.
Hành vi độc hại của ứng dụng đặc biệt liên quan đến việc trích xuất các bản ghi âm micrô và thu thập các tệp có phần mở rộng cụ thể, với ESET mô tả AhRat là phiên bản nhẹ của AhMyth.
Các đặc điểm thu thập dữ liệu chỉ ra một động cơ gián điệp có thể, mặc dù không có bằng chứng để liên kết hoạt động với bất kỳ tác nhân đe dọa nào đã biết. Tuy nhiên, AhMyth trước đây đã được Transparent Tribe sử dụng trong các cuộc tấn công nhắm vào Nam Á.
iRecorder là tác phẩm của một nhà phát triển tên là Coffeeholic Dev, người cũng đã phát hành một số ứng dụng khác trong những năm qua. Không ai trong số họ có thể truy cập được khi viết -
- iBlock (com.tsoft.app.iblock.ad)
- iCleaner (com.isolar.icleaner)
- iEmail (com.tsoft.app.email)
- iLock (com.tsoft.app.ilock)
- iVideoDownload (com.tsoft.app.ivideodownload)
- iVPN (com.ivpn.speed)
- Loa tập tin (com.teasoft.filespeaker)
- Trình tiết kiệm QR (com.teasoft.qrsaver)
- Tin nóng tin lạnh (đọc: Tin nóng và tin lạnh bằng tiếng Việt) (com.teasoft.news)
Sự phát triển này chỉ là ví dụ mới nhất về phần mềm độc hại áp dụng một kỹ thuật gọi là lập phiên bản, đề cập đến việc tải phiên bản sạch của ứng dụng lên Cửa hàng Play để xây dựng lòng tin giữa người dùng và sau đó thêm mã độc hại ở giai đoạn sau thông qua cập nhật ứng dụng, trong nỗ lực vượt qua quá trình xem xét ứng dụng.
"Trường hợp nghiên cứu AhRat là một ví dụ điển hình về cách một ứng dụng hợp pháp ban đầu có thể biến thành một ứng dụng độc hại, thậm chí sau nhiều tháng, theo dõi người dùng và xâm phạm quyền riêng tư của họ", Štefanko nói.