Приложение для захвата экрана на Android iRecorder Screen Recorder записывало звук каждые 15 минут и в зашифрованном виде отправляло на сайт разработчиков, сообщил исследователь Essential Security Against Evolving Threats (ESET) Лукас Стефанко.
Программу выпустили в сентябре 2021 года, однако после обновления до версии 1.3.8 в августе прошлого года софт начал несанкционированную передачу записей звука пользователей.
Стефанко пишет, что с лета 2022 года iRecorder Screen Recorder стал содержать вредоносный код, основанный на Android RAT AhMyth с открытым исходным кодом — это троян удалённого доступа.
К моменту, когда iRecorder Screen Recorder удалили из Google Play, софт уже загрузили 50 тыс. раз. По словам исследователя, ранее приложения со встроенным в них AhMyth не проходили контроль Google. Он отметил, что подобный софт не сразу начинает вредоносную деятельность, а спустя какое-то время, когда программа получает разрешение на доступ к конфиденциальной информации пользователей.
Взятый у AhMyth код был сильно изменён, это свидетельствует, что разработчик стал лучше разбираться в RAT с открытым исходным кодом, поясняет Стефанко. ESET назвала модифицированную RAT — iRecorder AhRat.
Исследователь неоднократно устанавливал приложения на устройства в лаборатории, и каждый результат совпадал с предыдущим: софт получал указание записать одну минуту звука и отправить его на сервер злоумышленника. В дальнейшем приложение будет получать одни и те же инструкции каждые 15 минут.
В ESET не исключают, что iRecorder Screen Recorder — часть активной шпионской кампании. Однако у компании нет никаких доказательств, что приложение направлено на определённую группу людей.
В 2019 году Стефанко рассказал, что обнаружил RAT AhMyth в Radio Balouch — это приложение для потокового вещания белуджской музыки, которая происходит из юго-восточного Ирана. Однако этот софт установили из Google Play немного больше 100 раз.
