Nakon skoro godinu dana ispravnog rada i čiste distribucije kroz Play Store, popularna Android aplikacija za snimanje ekrana, izdala je svoje korisnike, između ostalog, snimajući njihove pozive.
Legitimna Android aplikacija postala je zlonamjerna godinu dana nakon izlaska.
Istraživači sajber bezbjednosti iz ESET-a otkrili su da se aplikacija, nazvana iRecorder – Screen Recorder, koja je dodata u Play prodavnicu u septembru 2021, pokvarila u avgustu 2022.
U godini prije nego što je očigledno dodat zlonamjerni kod, više od 50.000 ljudi je preuzelo aplikaciju, navodi se u izvještaju.
Nepoznati motivi
Zlonamjerni softver koji je naknadno dodat zasnovan je na AhMyth Android Remote Access Trojan (RAT) otvorenog koda, ali je u velikoj mjeri izmijenjen.
ESET kaže da je ko god da je izmijenio kod odvojio vrijeme da razumije kod i aplikacije i pozadinskog dijela. ESET-ovi istraživači su zlonamjerni softver nazvali AhRat.
Akteri prijetnji su nepoznati, kao i njihovi motivi. Ali s obzirom na funkcionalnost AhRata, sve stvari ukazuju na špijunsku kampanju, rekli su istraživači, prenosi "PC Press".
Na kraju krajeva, pored funkcije snimanja ekrana (koja nije zlonamjerna), aplikacija može da snima ambijentalni zvuk koji je pokupio mikrofon krajnje tačke i da eksfiltrira datoteke kao što su sačuvane web stranice, slike, audio, video, datoteke dokumenata i još mnogo toga.
"AhRat istraživački slučaj služi kao dobar primjer kako se prvobitno legitimna aplikacija može transformisati u zlonamjernu, čak i nakon mnogo mjeseci, špijunirajući svoje korisnike i ugrožavajući njihovu privatnost. Iako je moguće da je programer aplikacije namjeravao da izgradi bazu korisnika prije nego što ugrozi svoje Android uređaje putem ažuriranja ili da je zlonamjerni akter uveo ovu promjenu u aplikaciju; za sada nemamo dokaza ni za jednu od ovih hipoteza", rekao je istraživač ESET-a Lukaš Štefanko.
Drugim riječima, postoji mala šansa da su aplikaciju preuzeli zlonamjerni akteri i iskoristili u napadu na lanac snabdijevanja.
Verzije aplikacije iRecorder 1.3.8 i starije nisu zlonamjerne, rečeno je, ali ako ste je u međuvremenu ažurirali, velike su šanse – da ste kompromitovani.
Najgore je to što žrtve nisu čak ni morale da daju aplikaciji nikakve dodatne dozvole. Aplikacija je od tada uklonjena iz Play prodavnice.
.webp)
