Objavljeno: 25.5.2023

Legitimna aplikacija iRecorder za Android je enem letu postala zlonamerna

 

ESET je kot partner združenja Google App Defense Alliance odkril trojansko aplikacijo iRecorder, ki je bila na voljo v trgovini Google Play.

 

  • iRecorder je vseboval trojanski program za oddaljeno dostopanje do naprav Android vrste AhMyth, ki so ga v ESETu poimenovalu AhRat.
  • Na začetku aplikacija iRecorder ni imela nobenih škodljivih funkcij. Precej nenavadno je, da je aplikacija prejela posodobitev z vsebovano zlonamerno kodo kar nekaj mesecev po tem, ko je bila izdana prva različica.
  • Posebno škodljivo vedenje aplikacije, ki vključuje pridobivanje posnetkov iz mikrofona in krajo datotek z določenimi končnicami, potencialno kaže na njeno vpletenost v vohunsko kampanjo.
  • Zlonamerna aplikacija z več kot 50.000 prenosi je bila po opozorilu ESET Research odstranjena iz trgovine Google Play, pri čemer ESET ni odkril AhRata nikjer drugje v medmrežju.

 

BRATISLAVA, LJUBLJANA, 25. maja 2023 – Iz podjetja Si splet so sporočili, da so raziskovalci družbe ESET so odkrili trojansko aplikacijo za Android z imenom iRecorder - Screen Recorder. Ta je bila kot legitimna aplikacija v trgovini Google Play na voljo od septembra 2021, zlonamerna funkcionalnost pa ji je bila najverjetneje dodana avgusta 2022. V času svojega obstoja je bila aplikacija nameščena v več kot 50.000 naprav. Zlonamerna koda, ki je bila dodana v čisto različico aplikacije iRecorder, temelji na odprtokodnem trojanskem programu za Android AhMyth RAT (trojanski konj za oddaljeni dostop) in je bila prilagojena v program, ki so ga v ESET-u poimenovali AhRat. Zlonamerna aplikacija lahko snema zvok z mikrofonom naprave in krade datoteke, kar nakazuje, da bi lahko bila del vohunske kampanje. Raziskava, ki so jo sprožili v ESET Research poleg same trgovine Google Play ni zaznala aplikacije AhRat nikjer drugje v kibernetskem prostoru. Aplikacijo iRecorder je sicer mogoče najti tudi na alternativnih in neuradnih tržnicah za Android, razvijalec pa v Google Play ponuja tudi druge aplikacije, ki pa ne vsebujejo zlonamerne kode.

 

Kot so navedli v ESET-u, ni prvič, da je bila zlonamerna programska oprema za Android, ki temelji na AhMyth, na voljo v uradni trgovini. Podjetje je že leta 2019 objavilo raziskavo o takšni trojanski aplikaciji. Takrat je vohunska programska oprema, zgrajena na osnovi AhMytha, dvakrat obšla Googlov postopek preverjanja aplikacij, in sicer kot zlonamerna aplikacija, ki je zagotavljala pretakanje radijskih programov.

 

»Raziskava AhRata je dober primer tega, kako se lahko sprva legitimna aplikacija tudi po več mesecih spremeni v zlonamerno, ki vohuni za uporabniki in ogroža njihovo zasebnost. Možno je, da je razvijalec aplikacije nameraval ustvariti zbirko uporabnikov, preden je s posodobitvijo ogrozil njihove naprave Android, ali da je to spremembo v aplikacijo vnesel zlonamerni akter. Za zdaj nimamo dokazov za nobeno od teh hipotez,« je povedal ESET-ov raziskovalec Lukáš Štefanko, ki je odkril in raziskal grožnjo.

 

Daljinsko vodeni AhRat predstavlja prilagoditev odprtokodne aplikacije AhMyth RAT, kar pomeni, da so avtorji zlonamerne aplikacije vložili veliko truda v razumevanje kode aplikacije in zaledja ter jo na koncu prilagodili svojim potrebam. Poleg tega, da zlonamerni iRecorder zagotavlja legitimno funkcijo snemanja zaslona, lahko snema tudi okoliški zvok iz mikrofona naprave in ga prenese v napadalčev strežnik za krmiljenje in nadzor. Prav tako lahko iz naprave izsili datoteke s končnicami, ki predstavljajo shranjene spletne strani, slike, zvočne, video in dokumentne datoteke ter formate datotek, ki se uporabljajo za stiskanje več datotek.

 

Uporabniki sistema Android, ki so namestili prejšnje različice programa iRecorder, torej pred različico 1.3.8, bi svoje naprave lahko nevede izpostavili programu AhRat, če bi aplikacijo pozneje posodobili ročno ali samodejno, tudi brez nadaljnje odobritve dovoljenj za aplikacijo.

 

»Na srečo so bili preventivni ukrepi proti takšnim zlonamernim dejanjem že izvedeni v operacijskem sistemu Android 11 in višjih različicah – v  obliki hibernacije aplikacije. Ta funkcija učinkovito prestavi aplikacije, ki so več mesecev mirovale, v stanje hibernacije, s čimer ponastavi njihova dovoljenja za izvajanje in prepreči zlonamernim aplikacijam, da bi delovale, kot je bilo predvideno. Zlonamerna aplikacija je bila po našem opozorilu odstranjena iz trgovine Google Play, kar potrjuje, da je za zaščito naprav pred morebitnimi varnostnimi kršitvami še vedno bistvena potreba po zaščiti na več ravneh, kot je ESET Mobile Security," je sklenil Štefanko.

 

V ESET Research še niso našli nobenih konkretnih dokazov, na osnovi katerih bi lahko to dejavnost pripisali določeni kampanji ali skupini APT.

|konec sporočila|

 

 

O podjetju Si Splet

Si Splet, d. o. o. je generalni zastopnik družbe ESET, enega vodilnih svetovnih ponudnikov varnostnih rešitev in hkrati vodilnega ponudnika varnostnih rešitev iz Evropske unije. Ponudbo programske opreme za zaščito proti zlonamernim programskim kodam dopolnjuje z lokalno tehnično podporo ter s storitvami, kot so svetovanje pri upravljanju z informacijsko varnostjo ter izdelava varnostnih načrtov. Varnostne rešitve ESET v Sloveniji uporablja več kot 50.000 poslovnih in domačih uporabnikov. Med poslovnimi uporabniki so vodilna podjetja in organizacije iz gospodarstva in javnega sektorja, od proizvodnih, storitvenih in finančnih podjetij do zdravstva, oskrbe, izobraževanja in javne uprave.

 

Stik za več informacij:

Petra Veber

direktorica operacij 

 

Si Splet, d. o. o.

Ukmarjeva 4

1000 Ljubljana, Slovenia

 

Telefon: 01 428 94 66

E-pošta: petra.veber@sisplet.com

Spletna stran: www.eset.si

 

 

 

 

 

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

Najbolj brano

  • Windows 11 se bo popravil sam

    Najpozneje ob lanski polomiji s posodobitvijo CrowdStrike je svet spoznal, kakšen glavobol lahko povzroči en sam okvarjeni gonilnik, ki prepreči normalni zagon Windows 11. Reševanje takšnih sistemov je načeloma možno, a terja nekaj znanja in predvsem fizični dostop do vsakega računalnika. Microsoft bo z naslednjo posodobitvijo izpolnil obljubo in postopek avtomatiziral.

    Objavljeno: 14.7.2025 07:00
  • Ali Google AI Overview ubija internet, kot ga poznamo?

    Zadnje mesece Google pri iskanju pred vsemi zadetki izpiše lasten povzetek več virov, ki ga ustvari z umetno inteligenco. Tako ustvarjeni AI Overview pa je zmotil založnike v Evropi, ki so se pritožili zaradi domnevne nepoštene konkurence. Trdijo, da jim Google odžira prihodke.

    Objavljeno: 7.7.2025 07:00
  • Google iz fotografij dela videoposnetke

    Google je predstavil novo funkcijo umetne inteligence Gemini za pretvorbo fotografij v videoposnetke.

    Objavljeno: 11.7.2025 14:00 | Teme: google, umetna inteligenca
  • Samsung predstavil troje prepogljivih telefonov

    Samsung je predstavil nove telefone, pri čemer se je to pot osredotočil na prepogljivost. Vsi trije novi modeli so prepogljivi: Galaxy Z Fold 7, Galaxy Z Flip 7 in Galaxy Z Flip 7 FE.

    Objavljeno: 11.7.2025 06:00
  • Grafična kartica za pol milijona dolarjev

    ASUS je na dogodku Bilibili World 2025 presenetil z razkritjem najdražje grafične kartice na svetu, posebne različice ROG Astral RTX 5090, izdelane iz pravega 24-karatnega zlata. 

    Objavljeno: 14.7.2025 10:00
  • Umetna inteligenca upočasnjuje programiranje

    Prednosti umetne inteligence so mnogotere in števila opravila nam poenostavi in pohitri, ni pa to samoumevno. V najnovejši raziskavi za METR (Model Evaluation and Threat Research) so ugotovili, da se storilnost razvijalcev odprtokodne programske opreme ob uporabi orodij umetne inteligence zmanjša. Pisanje kode se je upočasnilo za 19 odstotkov!

    Objavljeno: 16.7.2025 07:00
 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji