Google eliminó una aplicación de grabación de pantalla llamada «iRecorder – Screen Recorder» de Play Store después de que se descubriera un malware que colaba capacidades de robo de información casi un año después de que la aplicación se publicara como una aplicación inocua.
La aplicación (nombre del paquete APK «com.tsoft.app.iscreenrecorder»), que acumuló más de 50 000 instalaciones, se cargó por primera vez el 19 de septiembre de 2021. Se cree que la funcionalidad maliciosa se introdujo en la versión 1.3.8, que se lanzó el 24 de agosto de 2022.
«Es raro que un desarrollador cargue una aplicación legítima, espere casi un año y luego la actualice con un código malicioso», dijo el investigador de seguridad de ESET Lukáš Štefanko en un informe técnico.
«El código malicioso que se agregó a la versión limpia de iRecorder se basa en el código abierto AhMyth Android RAT (troyano de acceso remoto) y se ha personalizado en lo que llamamos AhRat».
El analista de seguridad de Kaspersky Igor Golovin marcó por primera vez que iRecorder albergaba el troyano AhMyth el 28 de octubre de 2022, lo que indica que la aplicación logró permanecer accesible todo este tiempo e incluso recibió una nueva actualización el 26 de febrero de 2023.
El comportamiento malicioso del malware en la aplicación implica especialmente la extracción de grabaciones de micrófonos y la recopilación de archivos con extensiones específicas, y ESET describe a AhRat como una versión ligera de AhMyth.
Características del Malware descubierto
La característica de recopilación de datos apunta a un posible motivo de espionaje, aunque no hay evidencia que vincule la actividad a ningún actor de amenazas conocido. Sin embargo, AhMyth ha sido empleado anteriormente por Transparent Tribe en ataques dirigidos al sur de Asia.
iRecorder es obra de un desarrollador llamado Coffeeholic Dev , que también ha lanzado otras aplicaciones a lo largo de los años. Ninguno de ellos es accesible al momento de escribir –
- iBlock (com.tsoft.app.iblock.ad)
- iCleaner (com.isolar.icleaner)
- iEmail (com.tsoft.app.email)
- iLock (com.tsoft.app.ilock)
- iVideoDownload (com.tsoft.app.ivideodownload)
- iVPN (com.ivpn.speed)
- Altavoz de archivos (com.teasoft.filespeaker)
- QR Saver (com.teasoft.qrsaver)
- Tin nóng tin lạnh (lea: noticias calientes y noticias frías en vietnamita) (com.teasoft.news)
Este desarrollo es solo el último ejemplo de malware que adopta una técnica llamada control de versiones , que se refiere a cargar una versión limpia de la aplicación en Play Store para generar confianza entre los usuarios y luego agregar código malicioso en una etapa posterior a través de actualizaciones de la aplicación, en una oferta. para deslizarse a través del proceso de revisión de la aplicación.
«El caso de investigación de AhRat sirve como un buen ejemplo de cómo una aplicación inicialmente legítima puede transformarse en una maliciosa, incluso después de muchos meses, espiando a sus usuarios y comprometiendo su privacidad», dijo Štefanko.
¿Has encontrado a este artículo interesante? Puedes seguirnos en Facebook , Twitter y LinkedIn para leer más contenido que publicamos o contáctanos.
