محقق ESET، لوکاس استفانکو، کشف کرد که iRecorder – Screen Recorder در سال گذشته تروجانی شده است. این برنامه برای اولین بار در سپتامبر 2021 وارد Google Play شد، زمانی که عاری از هرگونه عنصر مخرب بود، اما زمانی که بهروزرسانی نسخه 1.3.8 در آگوست 2022 ارائه شد، این وضعیت تغییر کرد.
کد مخرب اضافه شده به برنامه مبتنی بر بدافزار منبع باز AhMyth Android RAT (تروجان دسترسی از راه دور) است که می تواند داده ها را از دستگاه ها، از جمله مخاطبین، پیام های SMS، گزارش تماس ها، تاریخچه مرورگر، مکان دستگاه و اسکرین شات ها سرقت کند. اما نسخه سفارشی ساز توسعه دهنده که ESET آن را AhRat نامید، عملکرد محدودی داشت.
توانایی ضبط و ارسال صدا در فواصل زمانی کوتاه یک ویژگی غیرعادی است. استفانکو پیشنهاد میکند که این میتواند بخشی از یک کمپین جاسوسی باشد، بهویژه که AhMyth منبع باز قبلاً توسط Transparent Tribe، یک گروه جاسوسی که برای هدف قرار دادن سازمانهای دولتی و نظامی در جنوب آسیا شناخته میشود، استفاده شده بود. با این حال، هیچ مدرکی مبنی بر ارتباط AhRat با آن گروه وجود ندارد، همچنین مشخص نیست که آیا این برنامه برای استراق سمع گروه خاصی از افراد طراحی شده است یا خیر.
این برنامه نه تنها بیش از 50000 بار دانلود شده بود، بلکه دارای امتیاز 4.2 ستاره قابل احترام در Google Play بود که احتمالاً نتیجه ایمن بودن آن برای مدت طولانی است. نمره پایین با انتقادات زیاد کاربر اغلب علامت قرمز است.
به طور خلاصه: یکی از راههای مؤثری که یک برنامه مخرب Android در Play Store میتواند از شناساییهای Google جلوگیری کند، این است که قبل از پیادهسازی عناصر بدافزار بهعنوان یک برنامه تمیز و قانونی ارائه شود. این همان چیزی است که با iRecorder – Screen Recorder اتفاق افتاد. این اپلیکیشن که 50000 بار دانلود شده بود، هر 15 دقیقه یک بار به طور مخفیانه با میکروفون دستگاه ضبط صدا می کرد و برای مهاجم ارسال می کرد.
تنها شش قابلیت از 18 قابلیت این برنامه پیادهسازی شده بود، که نشان میدهد AhRat کاری در حال پیشرفت است که میتوانست برخی از قابلیتهای اضافی موجود در AhMyth، مانند keylogging، ردیابی مکان، و گرفتن صفحه نمایش را در آینده اضافه کند.
جنبه موذی AhRat توانایی آن در ضبط صدای اطراف از میکروفون دستگاه هر 15 دقیقه و آپلود آن در سرور فرمان و کنترل مهاجم (C&C) است.
Coffeeholic Dev، توسعهدهنده برنامه، برنامههای دیگری در فروشگاه داشت که هیچ نشانهای از بدافزار را نشان نمیدادند، اما این عناصر میتوانستند در آینده اضافه شوند، همانطور که در مورد iRecorder – Screen Recorder وجود داشت. ما نمی توانیم بفهمیم زیرا همه برنامه های آنها اکنون توسط Google حذف شده است.