imágenes falsas
Una aplicación que tuvo más de 50,000 descargas de Google Play grabó subrepticiamente el audio cercano cada 15 minutos y lo envió al desarrollador de la aplicación, dijo un investigador de la firma de seguridad ESET.
La aplicación, titulada iRecorder Screen Recorder, comenzó su vida en Google Play en septiembre de 2021 como una aplicación benigna que permitía a los usuarios grabar las pantallas de sus dispositivos Android, dijo el investigador de ESET Lukas Stefanko en un comunicado. correo publicado el martes. Once meses después, la aplicación legítima se actualizó para agregar una funcionalidad completamente nueva. Incluía la capacidad de encender de forma remota el micrófono del dispositivo y grabar sonido, conectarse a un servidor controlado por el atacante y cargar el audio y otros archivos confidenciales que estaban almacenados en el dispositivo.
Grabación encubierta cada 15 minutos
Las funciones de espionaje secreto se implementaron usando código de AhMito
Stefanko instaló la aplicación repetidamente en los dispositivos de su laboratorio, y cada vez, el resultado fue el mismo: la aplicación recibió una instrucción para grabar un minuto de audio y enviarlo al servidor de comando y control del atacante, también conocido coloquialmente en seguridad. círculos como C&C o C2. En el futuro, la aplicación recibiría la misma instrucción cada 15 minutos indefinidamente. En un correo electrónico, escribió:
Durante mi análisis, AhRat fue activamente capaz de filtrar datos y grabar el micrófono (un par de veces eliminé la aplicación y la reinstalé, y la aplicación siempre se comportó de la misma manera).
La exfiltración de datos está habilitada según los comandos en [a] archivo de configuración devuelto por [the] C&C. Durante mi análisis, el archivo de configuración siempre devolvía el comando para grabar audio, lo que significa [it] encendió el micrófono, capturó el audio y lo envió al C2.
Sucedía constantemente en mi caso, ya que estaba condicionado a los comandos que se recibían en el archivo de configuración. La configuración se recibió cada 15 minutos y la duración del registro se estableció en 1 minuto. Durante el análisis, mi dispositivo siempre recibía comandos para grabar y enviar audio del micrófono a C2. Ocurrió 3 o 4 veces, luego detuve el malware.
El malware asociado a las aplicaciones disponibles en los servidores de Google no es nuevo. Google no comenta cuando se descubre malware en su plataforma más allá de agradecer a los investigadores externos que lo encontraron y decir que la empresa elimina el malware tan pronto como se entera. La compañía nunca ha explicado qué hace que sus propios investigadores y el proceso de escaneo automatizado pasen por alto las aplicaciones maliciosas descubiertas por personas externas. Google también se ha mostrado reacio a notificar activamente a los usuarios de Play una vez que se entera de que fueron infectados por aplicaciones promocionadas y puestas a disposición por su propio servicio.
Lo que es más inusual en este caso es el descubrimiento de una aplicación maliciosa que registra activamente una base tan amplia de víctimas y envía su audio a los atacantes. Stefanko dijo que es posible que iRecord sea parte de una campaña activa de espionaje, pero hasta ahora no ha podido determinar si ese es el caso.
“Desafortunadamente, no tenemos ninguna evidencia de que la aplicación se envió a un grupo particular de personas y, a partir de la descripción de la aplicación y la investigación adicional (posible vector de distribución de la aplicación), no está claro si se dirigió a un grupo específico de personas. o no”, escribió. “Parece muy inusual, pero no tenemos evidencia para decir lo contrario”.
Las RAT brindan a los atacantes una puerta trasera secreta en las plataformas infectadas para que puedan instalar o desinstalar aplicaciones, robar contactos, mensajes o datos de usuarios y monitorear dispositivos en tiempo real. AhRat no es la primera RAT de Android de este tipo en utilizar el código fuente abierto de AhMyth. En 2019, Stefanko hallazgo reportado una RAT implementada por AhMyth en Radio Balouch, una aplicación de transmisión de radio completamente funcional para entusiastas de la música Balochi, que proviene del sureste de Irán. Esa aplicación tenía una base de instalación significativamente menor de solo más de 100 usuarios de Google Play.
Un prolífico grupo de amenazas que ha estado activo desde al menos 2013 también ha utilizado AhMyth para proteger las aplicaciones de Android que personal militar y gubernamental objetivo En India. No hay indicios de que el grupo de amenazas, rastreado por investigadores con los nombres Tribu transparenteAPT36, Mythic Leopard, ProjectM y Operation C-Major: alguna vez difundieron la aplicación a través de Google Play y el vector de infección sigue sin estar claro.