Una popolare app per Android ha iniziato a spiare segretamente i suoi utenti mesi dopo essere stata pubblicata su Google Play
Crediti immagine: Bryce Durbin/TechCrunch
Una società di sicurezza informatica afferma che una popolare app di registrazione dello schermo Android, che ha accumulato decine di migliaia di download sul Google Play Store, ha quindi iniziato a spiare i suoi utenti, anche rubando registrazioni del microfono e altri documenti dal telefono di un utente.
La ricerca di ESET ha rilevato che l’app per Android, “iRecorder – Screen Recorder”, ha introdotto il codice dannoso come aggiornamento dell’app quasi un anno dopo la sua prima pubblicazione su Google Play. Secondo ESET, il codice consentiva all’app di caricare di nascosto un minuto di suono ambientale dal microfono del dispositivo ogni 15 minuti, oltre a documenti di output, pagine Web e file multimediali dal telefono dell’utente.
applicazione non più incluso su GooglePlay. Se hai installato l’applicazione, devi eliminarla dal tuo dispositivo. Quando l’app dannosa è stata ritirata dall’App Store, aveva accumulato più di 50.000 download.
ESET chiama il codice dannoso AhRat, che è una versione personalizzata di un trojan di accesso remoto open source chiamato AhMyth. I trojan operati in remoto (o RAT) beneficiano di un ampio accesso alla macchina della vittima e possono spesso comportare il controllo remoto, ma funzionano anche in modo simile a spyware e stalkerware.
![](data:image/svg+xml;charset=utf-8,<svg height="742" width="1024" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
Screenshot di un iRecorder elencato su Google Play poiché è stato memorizzato nella cache nell’Internet Archive nel 2022. Crediti immagine: TechCrunch (schermata)
Lukas Stefanko, il ricercatore di sicurezza di ESET che ha scoperto il malware, ha detto in un post sul blog L’app iRecorder non aveva funzionalità dannose quando è stata lanciata per la prima volta nel settembre 2021.
Una volta che il codice AhRat dannoso è stato inviato come aggiornamento dell’app agli utenti esistenti (e ai nuovi utenti che avrebbero scaricato l’app direttamente da Google Play), l’app ha iniziato ad accedere di nascosto al microfono dell’utente e a caricare i dati del telefono dell’utente su un server controllato dal malware . operatore o lavoratore. Stefanko ha affermato che la registrazione audio “si adatta al modello di autorizzazioni dell’app già stabilito”, poiché l’app è intrinsecamente progettata per acquisire le registrazioni dello schermo del dispositivo e richiederà l’accesso al microfono del dispositivo.
Non è chiaro chi abbia inserito il codice dannoso, se sia stato lo sviluppatore o qualcun altro, o per quale motivo. TechCrunch ha inviato un’e-mail all’indirizzo e-mail di uno sviluppatore che era nell’elenco dell’app prima che fosse ritirato, ma non ha ancora ricevuto risposta.
Stefanko ha affermato che il codice dannoso faceva probabilmente parte di una più ampia campagna di spionaggio, in cui gli hacker lavorano per raccogliere informazioni su obiettivi di loro scelta, a volte per conto di governi o per motivi finanziari. “È raro che uno sviluppatore carichi un’app legittima, attenda circa un anno e poi la aggiorni con codice dannoso”, ha affermato.
Non è raro che app cattive entrino negli app store, né è la prima volta che AhMyth entra si è fatto strada su GooglePlay. Sia le app di Google che quelle di Apple controllano il malware prima di elencarlo per il download e talvolta agiscono in modo proattivo per estrarre le app quando mettono in pericolo gli utenti. L’anno scorso, Google Egli ha detto Impedito a più di 1,4 milioni di app che violano la privacy di accedere a Google Play.
“Esploratore. Scrittore appassionato. Appassionato di Twitter. Organizzatore. Amico degli animali ovunque.”