Google eliminó una aplicación de grabación de pantalla llamada «iRecorder – Screen Recorder» de Play Store después de que se descubriera que colaba capacidades de robo de información casi un año después de que la aplicación se publicara como una aplicación inocua.
La aplicación (nombre del paquete APK «com.tsoft.app.iscreenrecorder»), que acumuló más de 50 000 instalaciones, se cargó por primera vez el 19 de septiembre de 2021. Se cree que la funcionalidad maliciosa se introdujo en la versión 1.3.8, que se lanzó el 24 de agosto de 2022.
«Es raro que un desarrollador cargue una aplicación legítima, espere casi un año y luego la actualice con un código malicioso», dijo Lukáš Štefanko, investigador de seguridad de ESET. dicho en un informe técnico.
«El código malicioso que se agregó a la versión limpia de iRecorder se basa en código abierto AhMito Android RAT (troyano de acceso remoto) y se ha personalizado en lo que llamamos AhRat».
iRecorder fue primero marcado como albergando el troyano AhMyth el 28 de octubre de 2022, por el analista de seguridad de Kaspersky Igor Golovin, lo que indica que la aplicación logró permanecer accesible todo este tiempo e incluso recibió una nueva actualización el 26 de febrero de 2023.
El comportamiento malicioso de la aplicación implica especialmente la extracción de grabaciones de micrófonos y la recopilación de archivos con extensiones específicas, y ESET describe a AhRat como una versión ligera de AhMyth.
La característica de recopilación de datos apunta a un posible motivo de espionaje, aunque no hay evidencia que vincule la actividad a ningún actor de amenazas conocido. Sin embargo, AhMyth ha sido empleado anteriormente por Transparent Tribe en ataques dirigidos al sur de Asia.
iRecorder es el trabajo de un desarrollador llamado Desarrollador adicto al café, quien también ha lanzado varias otras aplicaciones a lo largo de los años. Ninguno de ellos es accesible al momento de escribir –
- iBlock (com.tsoft.app.iblock.ad)
- iCleaner (com.isolar.icleaner)
- iEmail (com.tsoft.app.email)
- iLock (com.tsoft.app.ilock)
- iVideoDownload (com.tsoft.app.ivideodownload)
- iVPN (com.ivpn.speed)
- Altavoz de archivos (com.teasoft.filespeaker)
- QR Saver (com.teasoft.qrsaver)
- Tin nóng tin lạnh (lea: noticias calientes y noticias frías en vietnamita) (com.teasoft.news)
Este desarrollo es solo el último ejemplo de malware que adopta una técnica llamada control de versiones, que se refiere a cargar una versión limpia de la aplicación en Play Store para generar confianza entre los usuarios y luego agregar código malicioso en una etapa posterior a través de actualizaciones de la aplicación, en una oferta. para deslizarse a través del proceso de revisión de la aplicación.
«El caso de investigación de AhRat sirve como un buen ejemplo de cómo una aplicación inicialmente legítima puede transformarse en una maliciosa, incluso después de muchos meses, espiando a sus usuarios y comprometiendo su privacidad», dijo Štefanko.