Исследователи безопасности из ESET обнаружили популярное приложение для Android, которое оказалось трояном. В течение многих лет приложение "iRecorder - Screen Recorder" делало только то, что должно было делать, согласно его описанию, а именно - делало записи. Но затем появилось обновление.
Предположительно с обновлением в августе 2022 года в приложение был добавлен сложный вредоносный код. Об этом стало известно только в марте, спустя добрых полгода. Тем временем приложение iRecorder - Screen Recorder от разработчика Coffeeholic Dev было удалено из Google Play Store.
По данным экспертов по безопасности из ESET, приложение начало передавать отличные данные неизвестным третьим лицам в конце лета прошлого года. Речь идет о фотографиях, видео, аудио и документах.
Внезапно появился троянец удаленного доступа
Первая вредоносная версия iRecorder содержала части вредоносного кода AhMyth RAT. Это троянец удаленного доступа (RAT). Это означает, что посторонние могут получить доступ к данным на устройстве.
Этот троянец каждые 15 минут отправляет запрос на свой C&C-сервер и запрашивает новый конфигурационный файл. Этот файл содержит новые команды и информацию о конфигурации, которые необходимо выполнить и установить на целевом устройстве.
По данным ESET, это включает в себя расположение в файловой системе, из которой должны быть извлечены данные пользователя, типы файлов с определенными расширениями, которые должны быть извлечены, ограничение на размер файла, продолжительность записи с микрофона и интервал времени между записями. ESET не нашла никаких подсказок о том, кто может стоять за взломом iRecorder. В настоящее время компания выясняет, каким образом троянец мог проникнуть в систему.
Подобные троянцы удаленного доступа опасны и неоднократно появлялись в последние годы. В настоящее время Google работает над тем, чтобы информировать пользователей о манипуляциях в приложениях, анализируя передаваемые ими данные.
