برنامه Google Play هر 15 دقیقه 50000 بار از میکروفون ضبط شده مخفی دانلود شده است

به طور خلاصه: یکی از راه‌های مؤثری که یک برنامه مخرب Android در Play Store می‌تواند از شناسایی‌های Google جلوگیری کند، این است که قبل از پیاده‌سازی عناصر بدافزار به‌عنوان یک برنامه تمیز و قانونی ارائه شود. این همان چیزی است که با iRecorder – Screen Recorder اتفاق افتاد. این اپلیکیشن که 50000 بار دانلود شده بود، هر 15 دقیقه یک بار به طور مخفیانه با میکروفون دستگاه ضبط صدا می کرد و برای مهاجم ارسال می کرد.

تنها شش قابلیت از 18 قابلیت این برنامه پیاده‌سازی شده بود، که نشان می‌دهد AhRat کاری در حال پیشرفت است که می‌توانست برخی از قابلیت‌های اضافی موجود در AhMyth، مانند keylogging، ردیابی مکان، و گرفتن صفحه نمایش را در آینده اضافه کند.

محقق ESET، لوکاس استفانکو، کشف کرد که iRecorder – Screen Recorder در سال گذشته تروجانی شده است. این برنامه برای اولین بار در سپتامبر 2021 وارد Google Play شد، زمانی که عاری از هرگونه عنصر مخرب بود، اما زمانی که به‌روزرسانی نسخه 1.3.8 در آگوست 2022 ارائه شد، این وضعیت تغییر کرد.

Coffeeholic Dev، توسعه‌دهنده برنامه، برنامه‌های دیگری در فروشگاه داشت که هیچ نشانه‌ای از بدافزار را نشان نمی‌دادند، اما این عناصر می‌توانستند در آینده اضافه شوند، همانطور که در مورد iRecorder – Screen Recorder وجود داشت. ما نمی توانیم بفهمیم زیرا همه برنامه های آنها اکنون توسط Google حذف شده است.



منبع

این برنامه نه تنها بیش از 50000 بار دانلود شده بود، بلکه دارای امتیاز 4.2 ستاره قابل احترام در Google Play بود که احتمالاً نتیجه ایمن بودن آن برای مدت طولانی است. نمره پایین با انتقادات زیاد کاربر اغلب علامت قرمز است.

بخونید:  ZSA Voyager: a low-profile, split ergonomic keyboard for maximum, costly customization

توانایی ضبط و ارسال صدا در فواصل زمانی کوتاه یک ویژگی غیرعادی است. استفانکو پیشنهاد می‌کند که این می‌تواند بخشی از یک کمپین جاسوسی باشد، به‌ویژه که AhMyth منبع باز قبلاً توسط Transparent Tribe، یک گروه جاسوسی که برای هدف قرار دادن سازمان‌های دولتی و نظامی در جنوب آسیا شناخته می‌شود، استفاده شده بود. با این حال، هیچ مدرکی مبنی بر ارتباط AhRat با آن گروه وجود ندارد، همچنین مشخص نیست که آیا این برنامه برای استراق سمع گروه خاصی از افراد طراحی شده است یا خیر.

کد مخرب اضافه شده به برنامه مبتنی بر بدافزار منبع باز AhMyth Android RAT (تروجان دسترسی از راه دور) است که می تواند داده ها را از دستگاه ها، از جمله مخاطبین، پیام های SMS، گزارش تماس ها، تاریخچه مرورگر، مکان دستگاه و اسکرین شات ها سرقت کند. اما نسخه سفارشی ساز توسعه دهنده که ESET آن را AhRat نامید، عملکرد محدودی داشت.

جنبه موذی AhRat توانایی آن در ضبط صدای اطراف از میکروفون دستگاه هر 15 دقیقه و آپلود آن در سرور فرمان و کنترل مهاجم (C&C) است.