Wire

Legitieme Android-app iRecorder wordt binnen het jaar kwaadaardig en bespioneert zijn gebruikers, ontdekt ESET Research

© ESET
Onderzoekers van ESET hebben een getrojaniseerde Android-app ontdekt met de naam iRecorder - Screen Recorder. In september 2021 was het beschikbaar op Google Play als een legitieme app.

Waarschijnlijk werd de kwaadaardige functionaliteit in augustus 2022 toegevoegd. Tijdens zijn bestaan ​​werd de app op meer dan 50.000 toestellen geïnstalleerd. De kwaadaardige code die aan de originele versie van iRecorder toegevoegd werd, is gebaseerd op de open-source AhMyth Android RAT (trojan met externe toegang) en is aangepast tot wat ESET AhRat noemde. De kwaadaardige app kan audio opnemen met behulp van de microfoon van het toestel en bestanden te stelen. Dit suggereert dat het mogelijk deel uitmaakt van een spionagecampagne.

Buiten de Google Play Store heeft ESET Research AhRat nergens anders gedetecteerd. Dit is echter niet de eerste keer dat op AhMyth gebaseerde Android-malware beschikbaar is in de officiële winkel; reeds in 2019 publiceerde ESET onderzoek naar een dergelijke getrojaniseerde app. Voorheen omzeilde de spyware, ontwikkeld op basis van AhMyth, het app-doorlichtingsproces van Google twee keer, als een kwaadaardige app die radiostreaming mogelijk maakte. De iRecorder-app is ook te vinden op alternatieve en niet-officiële Android-markten. De ontwikkelaar biedt op Google Play ook andere apps aan, maar deze bevatten geen schadelijke code.

“De onderzoekscase van AhRat laat zien hoe een aanvankelijk legitieme app zelfs na vele maanden kan veranderen in een kwaadwillende app die gebruikers bespioneert en hun privacy schendt. Het is mogelijk dat de app-ontwikkelaar van plan was een gebruikersbestand op te bouwen voor hij hun Android-toestellen compromitteerde via een update, of dat een kwaadwillende persoon deze wijziging in de app heeft aangebracht. We hebben echter geen bewijs voor deze hypothesen”, aldus Lukáš Štefanko, de ESET-onderzoeker die de dreiging ontdekte en onderzocht.

De op afstand bestuurbare AhRat is een aanpassing van de open-source AhMyth RAT. Dit betekent dat de auteurs van die app veel moeite hebben gedaan om de code van zowel de app als de back-end te begrijpen en deze uiteindelijk aan hun eigen behoeften aan te passen.

Naast het bieden van legitieme schermopnamefunctionaliteiten, kan de kwaadwillende iRecorder omringende audio met de microfoon van het toestel opnemen en naar de commando- en controleserver van de aanvaller uploaden. Het kan ook bestanden van het toestel exfiltreren met extensies van opgeslagen webpagina’s, afbeeldingen, audio-, video- en documentbestanden alsook bestandsindelingen die gebruikt worden voor het comprimeren van meerdere bestanden.

Android-gebruikers die een oudere versie van iRecorder (vóór versie 1.3.8) hadden geïnstalleerd, die geen schadelijke functies had, zouden, zonder het te weten, hun toestellen aan AhRat blootgesteld hebben als ze de app vervolgens handmatig of automatisch hadden bijgewerkt, zelfs zonder verdere app-toestemming te verlenen.

“Gelukkig zijn er reeds preventieve maatregelen, onder de vorm van app-slaapstand, tegen dergelijke kwaadaardige acties geïmplementeerd in Android 11 en hogere versies. Deze functie plaatst apps die enkele maanden inactief zijn geweest effectief in een slaapstand, waardoor hun runtimerechten gereset worden. Zo voorkomt men dat schadelijke apps functioneren zoals bedoeld. Na onze waarschuwing werd de kwaadaardige app van Google Play verwijderd. Dit bevestigt dat de noodzaak voor een bescherming met meerdere lagen, zoals ESET Mobile Security, essentieel blijft tegen mogelijke beveiligingsinbreuken”, concludeert Štefanko.

Tot nog toe heeft ESET Research geen concrete bewijzen gevonden dat deze activiteit aan een bepaalde campagne of APT-groep kan toegeschreven worden.

Voor meer technische informatie over de iRecorder-app en AhRat, lees de blog “Android app breaking bad: From legitimate screen recording to file exfiltration within a year” op WeLiveSecurity. Volg ESET Research on Twitter voor het laatste nieuws van ESET Research.


Dit artikel is een commerciële bijdrage van ESET. Onze redactie is niet verantwoordelijk voor de inhoud.

Gerelateerde artikelen

Volg ons

Ga jij apps uit alternatieve appstores installeren?

  • Nee, App Store of Play Store is goed genoeg (57%, 109 Votes)
  • Alleen als ik een app écht nodig heb (29%, 56 Votes)
  • Ja, ik wil apps van andere bronnen installeren (14%, 27 Votes)

Aantal stemmen: 194

Laden ... Laden ...
69% korting + 3 maanden gratis

69% korting + 3 maanden gratis

Bezoek NordVPN

Business