Trong một phát hiện gần đây, các nhà nghiên cứu từ ESET đã tiết lộ rằng ứng dụng ghi màn hình phổ biến trên Android, iRecorder – Screen Recorder, đã bị phát hiện đang theo dõi người dùng và đánh cắp dữ liệu.

Ban đầu có sẵn trên Google Play dưới dạng một ứng dụng hợp pháp vào tháng 9 năm 2021, chức năng độc hại dường như đã được thêm vào tháng 8 năm 2022.

Đáng ngạc nhiên, trong suốt thời gian tồn tại, ứng dụng đã tìm được hơn 50.000 thiết bị.

(Ảnh: khắc nghiệt từ Pixabay)

Mã độc

Mã độc được nhúng trong iRecorder, được gọi là AhRat, dựa trên mã nguồn mở AhMyth Android RAT (trojan truy cập từ xa) và được cho là đã được điều chỉnh cho các mục đích bất chính, chẳng hạn như ghi âm trái phép và đánh cắp tệp, điều này cho thấy có thể liên quan đến hoạt động gián điệp. hoạt động, theo ESET.

Mặc dù ESET Research không phát hiện ra AhRat bên ngoài Cửa hàng Google Play, công ty phần mềm lưu ý rằng đây không phải là trường hợp đầu tiên phần mềm độc hại Android dựa trên AhMyth được tìm thấy trong cửa hàng chính thức.

Vào năm 2019, ESET trước đó đã công bố nghiên cứu về một ứng dụng trojan được xây dựng dựa trên AhMyth, ứng dụng này đã vượt qua được quy trình kiểm tra ứng dụng của Google bằng cách giả dạng một ứng dụng độc hại cung cấp tính năng phát trực tuyến qua radio.

Tuy nhiên, ESET nói thêm rằng ứng dụng iRecorder cũng có sẵn trên thị trường Android thay thế và không chính thức, nhưng phiên bản hợp pháp không chứa bất kỳ mã độc nào.

Nhà nghiên cứu Lukáš Štefanko của ESET cho biết: “Trường hợp nghiên cứu của AhRat là một ví dụ điển hình về cách một ứng dụng hợp pháp ban đầu có thể biến thành một ứng dụng độc hại, thậm chí sau vài tháng, theo dõi người dùng và xâm phạm quyền riêng tư của họ”. mối đe dọa. .

“Mặc dù có thể các nhà phát triển ứng dụng có ý định xây dựng cơ sở người dùng trước khi xâm phạm thiết bị Android của họ thông qua các bản cập nhật hoặc các tác nhân độc hại đưa ra những thay đổi này trong ứng dụng, nhưng cho đến nay, chúng tôi không có bằng chứng nào cho một trong hai giả thuyết này.”

Theo ESET, phần mềm độc hại AhRat, bắt nguồn từ mã nguồn mở AhMyth RAT, cho thấy mức độ tinh vi đáng kể.

Ngoài chức năng ghi màn hình hợp pháp, các nhà nghiên cứu đã phát hiện ra rằng ứng dụng iRecorder có thể bí mật ghi lại âm thanh từ micrô của thiết bị và tải nó lên máy chủ chỉ huy và kiểm soát của kẻ tấn công.

Ngoài ra, nó bị cáo buộc có thể trích xuất nhiều loại tệp khác nhau, bao gồm các tệp trang web, hình ảnh, âm thanh, video và tài liệu đã lưu, sau đó được gửi từ thiết bị bị ảnh hưởng.

Đọc thêm: Nintendo đang tắt Trình giả lập Skyline Switch trên Android

vô tình tiếp xúc

“Người dùng Android đã cài đặt phiên bản cũ hơn của iRecorder (trước phiên bản 1.3.8), không có bất kỳ tính năng độc hại nào, sẽ vô tình để thiết bị của họ tiếp xúc với AhRat nếu sau đó họ cập nhật ứng dụng theo cách thủ công hoặc tự động, ngay cả khi không cung cấp thêm bất kỳ thông tin nào phê duyệt quyền của ứng dụng,” các nhà nghiên cứu của ESET đã viết.

Android 11 và các phiên bản cao hơn đã giới thiệu chế độ ngủ đông ứng dụng, một biện pháp phòng ngừa vô hiệu hóa các ứng dụng không hoạt động, đặt lại quyền của chúng và ngăn các ứng dụng độc hại hoạt động.

Mặc dù ESET Research chưa xác định được chiến dịch hoặc nhóm APT cụ thể đằng sau hoạt động này, nhưng bạn có thể tìm thấy thông tin chi tiết trong bài đăng trên blog của ESET về “Ứng dụng Android bị hỏng nặng: Từ ghi màn hình hợp pháp đến xóa tệp trong một năm” trên WeLiveSecurity.

Nếu bạn đã cài đặt ứng dụng iRecorder, bạn nên xóa nó khỏi thiết bị của mình. Ứng dụng này đã bị xóa khỏi Google Play kể từ đó, nhưng trước khi bị xóa, ứng dụng này đã có hơn 50.000 lượt tải xuống, cho thấy một số lượng lớn người dùng có khả năng bị ảnh hưởng.

Những bài viết liên quan: Microsoft tích hợp AI Chatbot Bing với iOS, Android SwiftKey

gạch tên