Ondsinnede Android-applikasjoner som utgir seg for å være legitime, er et kjent fenomen i Google Play-butikken. Nå rapporteres det imidlertid om en tilsynelatende legitim app med en ny vri vi ikke ser så ofte, skriver nettstedet Techcrunch.
Forskere hos sikkerhetsselskapet ESET har oppdaget en relativt populær nytteapplikasjon, uten ondsinnet funksjonalitet, som plutselig endret karakter og ble ondsinnet først lenge etter den ble publisert hos app-butikken.
Brukes til skjermopptak
Appen det gjelder heter iRecorder – Screen Recorder og er blitt lastet ned rundt 50.000 ganger fra Google Play-butikken. Applikasjonen ble tilgjengelig i september 2021 og skal først i august i fjor har fått en oppdatering som ga den ondsinnet funksjonalitet – noe som ifølge forskerne er svært uvanlig.
I utgangspunktet brukes appen til å gjøre opptak av video som avspilles med mobilen, en funksjonalitet som mange andre Android-apper også byr på.
Etter at appen ble injisert med den ondsinnede koden via en oppdatering, begynte den imidlertid å ta opp lyd fra omgivelsene i det skjulte, uten brukerens viten. Dataene ble så videresendt til en C&C-server kontrollert av bakmennene.
I tillegg til lyd er appen også i stand til å hente ut filer i bestemte formater fra enheten, i form av både lagrede nettsider, bilder, lyd, video og dokumentfiler. Disse egenskapene har fått ESET til å konkludere med at det dreier seg om en spionasje.
– Appens spesifikke, ondsinnede adferd – eksfiltrering av mikrofonopptak og stjeling av filer i spesifikke formater – ser ut til å indikere at den er en del av en spionasjekampanje. Vi var imidlertid ikke i stand til å knytte appen til en bestemt, ondsinnet gruppe, skriver ESET.
RAT-programvare
Sikkerhetsselskapets analyser tilsier at den ondsinnede koden tilhører en RAT-programvare (remote access trojan) kalt AhMyth. Dette er en potent trojaner som i andre varianter er i stand til en rekke funksjoner, som eksfiltrering av samtalelogger og tekstmeldinger, sporing av enheten, sending av SMS-meldinger og å ta opp lys og ta bilder.
Den spesifikke versjonen av programvaren i dette tilfellet – som forskere kaller AhRat – skal imidlertid ha hatt en mer begrenset funksjonalitet, selv om trusselen fremdeles er betydelig. Det mest oppsiktsvekkende er likevel at appen representerer en ny tilnærming til det å skjule sin egentlige intensjon.
– Etterforskningen av AhRat tjener som et godt eksempel på hvordan en i utgangspunktet legitim applikasjon kan forvandle seg til en ondsinnet en, selv etter flere måneder, og spionerer på brukerne og kompromitterer personvernet, skriver sikkerhetsforskerne hos ESET.
Den aktuelle appen er i skrivende stund fjernet fra Google Play, og dersom man er blant brukerne som installerte den før den ble tatt ned, er det altså en god idé å slette den.
