O Google removeu um aplicativo de gravação de tela chamado "iRecorder - Screen Recorder" da Play Store depois que foi descoberto que o app tinha capacidades de roubo de informações quase um ano depois de ser publicado como um aplicativo inocente.
O aplicativo (nome do pacote APK "com tsoft app iscreenrecorder"), que acumulou mais de 50.000 instalações, foi carregado pela primeira vez em 19 de setembro de 2021.
A funcionalidade maliciosa acredita-se ter sido introduzida na versão 1.3.8, que foi lançada em 24 de agosto de 2022.
"É raro um desenvolvedor carregar um aplicativo legítimo, esperar quase um ano e, em seguida, atualizá-lo com código malicioso", disse o pesquisador de segurança da ESET, Lukáš Štefanko, em um relatório técnico.
"O código malicioso que foi adicionado à versão limpa do iRecorder é baseado no open source AhMyth Android RAT (remote access trojan) e foi personalizado no que chamamos de AhRat."
O iRecorder foi sinalizado pela primeira vez como abrigando o trojan AhMyth em 28 de outubro de 2022, pelo analista de segurança da Kaspersky, Igor Golovin, indicando que o aplicativo conseguiu permanecer acessível todo esse tempo e até recebeu uma nova atualização recentemente, em 26 de fevereiro de 2023.
O comportamento malicioso do aplicativo envolve especialmente a extração de gravações de microfone e a coleta de arquivos com extensões específicas, com a ESET descrevendo o AhRat como uma versão leve do AhMyth.
A característica de coleta de dados aponta para um possível motivo de espionagem, embora não haja evidências que vinculem a atividade a qualquer ameaça conhecida.
No entanto, o AhMyth já foi usado anteriormente pelo Transparent Tribe em ataques direcionados ao sul da Ásia.
O iRecorder é obra de um desenvolvedor chamado Coffeeholic Dev, que também lançou vários outros aplicativos ao longo dos anos.
Nenhum deles está disponível no momento da redação deste texto.
Este desenvolvimento é apenas o exemplo mais recente de malware adotando uma técnica chamada versionamento, que se refere ao carregamento de uma versão limpa do aplicativo na Play Store para construir confiança entre os usuários e, em seguida, adicionar código malicioso em um estágio posterior por meio de atualizações do aplicativo, na tentativa de passar pelo processo de revisão do aplicativo.
"O caso de pesquisa do AhRat serve como um bom exemplo de como um aplicativo inicialmente legítimo pode se transformar em um malicioso, mesmo após muitos meses, espionando seus usuários e comprometendo sua privacidade", disse Štefanko.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...