Речь идет о приложении для записи экрана "iRecorder – Screen Recorder". На момент анализа оно имело более 50 000 загрузок в Google Play. В одном из обновлений в него был внедрен троян удаленного доступа.
Интересно Удалите эти приложения немедленно, если вы установили их с Google Play – они заражены вирусами
Что известно
iRecorder – Screen Recorder / Фото 24 Канал / Скриншот ESET
Поскольку приложение предназначалось для записи экрана, это упростило злоумышленникам запрос разрешений на запись аудио и доступ к файлам на зараженных устройствах – это не вызывало подозрений у жертв.
Вирус, добавленный в обновление, это RAT AhRat, основанный на исходном коде опенсорсного AhMyth. При этом код, взятый из AhMyth, был сильно изменен, а разработчик очевидно знал, что он делает.
Первая вредоносная версия iRecorder содержала части вредоносного кода AhMyth RAT, скопированные без каких-либо изменений. Вторая версия вредоносного кода, которую мы назвали AhRat, так же была доступна в Google Play, и здесь AhMyth уже был кастомизирован: появился код для связи с C&C-сервером и бэкдором. На момент написания этой публикации мы не обнаружили AhRat ни в одном другом приложении Google Play и где-нибудь еще,
– пишут аналитики.
Вредитель AhRat имеет широкий спектр возможностей, включая отслеживание местоположения зараженных устройств, воровство журналов вызовов, контактов и текстовых сообщений, отправку SMS-сообщений, запись фоновых звуков и фотографирование.
Эксперты ESET отмечают, что вредоносное приложение для записи экрана использовало только часть возможностей AhRat: каждые 15 минут оно записывало и передавало на удаленный сервер фоновые звуки (запись длилась примерно минуту), а также воровало файлы с определенными расширениями, что привело исследователей к мысли о кибершпионаже. Тем не менее они не смогли найти доказательства того, что приложение пытались навязать какой-то конкретной группе людей.