Мова йде про застосунок для запису екрана "iRecorder – Screen Recorder". На момент аналізу він мав понад 50 000 завантажень у Google Play. В одному з оновлень у нього було впроваджено троян віддаленого доступу.
Цікаво Видаліть ці застосунки негайно, якщо ви встановили їх з Google Play – вони заражені вірусами
Що відомо
iRecorder – Screen Recorder / Фото 24 Канал / Скриншот ESET
Оскільки додаток призначався для запису екрана, це спростило зловмисникам запит дозволів на запис аудіо та доступ до файлів на заражених пристроях – це не викликало підозр у жертв.
Вірус, який було додано в оновлення, це RAT AhRat, заснований на вихідному коді опенсорсного AhMyth. При цьому код, взятий з AhMyth, був сильно змінений, а розробник явно знав, що він робить.
Перша шкідлива версія iRecorder містила частини шкідливого коду AhMyth RAT, скопійовані без будь-яких змін. Друга версія шкідливого коду, яку ми назвали AhRat, так само була доступна в Google Play, і тут AhMyth уже був кастомізований: з'явився код для зв'язку з C&C-сервером і бекдор. На момент написання цієї публікації ми не виявили AhRat у жодному іншому застосунку Google Play і де-небудь ще,
– пишуть аналітики.
Шкідник AhRat має широкий спектр можливостей, включно з відстеженням місця розташування заражених пристроїв, крадіжкою журналів викликів, контактів і текстових повідомлень, надсиланням SMS-повідомлень, записом фонових звуків і фотографуванням.
Експерти ESET зазначають, що шкідливий застосунок для запису екрана використовував лише частину можливостей AhRat: кожні 15 хвилин він записував і передавав на віддалений сервер фонові звуки (запис тривав приблизно хвилину), а також крав файли з певними розширеннями, що навело дослідників на думки про кібершпигунство. Попри це вони не змогли знайти доказів того, що застосунок намагалися нав'язати якійсь конкретній групі людей.