Компания по кибербезопасности утверждает, что после десятков тысяч загрузок в магазине приложений Google популярное программное обеспечение для записи экрана Android начало шпионить за своими пользователями, в том числе путем захвата записей с микрофона и других данных с телефона пользователя.
Расследование ESET показало, что вредоносный код был включен как часть обновления приложения для Android «iRecorder — Screen Recorder», которое было выпущено более чем через год после того, как оно было первоначально доступно в Google Play. Согласно ESET, код позволял приложению извлекать документы, веб-страницы и мультимедийные файлы с телефона пользователя, а также тайно загружать одну минуту фонового шума с микрофона устройства каждые 15 минут.
Приложение Google Play разоблачено: миллионы людей находятся под угрозой слежки
Компания по кибербезопасности утверждает, что после десятков тысяч загрузок в магазине приложений Google популярное программное обеспечение для записи экрана Android начало шпионить за своими пользователями, в том числе путем захвата записей с микрофона и других данных с телефона пользователя.
Расследование ESET показало, что вредоносный код был включен как часть обновления приложения для Android «iRecorder — Screen Recorder», которое было выпущено более чем через год после того, как оно было первоначально доступно в Google Play. Согласно ESET, код позволял приложению извлекать документы, веб-страницы и мультимедийные файлы с телефона пользователя, а также тайно загружать одну минуту фонового шума с микрофона устройства каждые 15 минут.
Вирус был обнаружен Лукасом Стефанко, исследователем безопасности ESET, который сообщил в своем блоге, что программное обеспечение iRecorder не содержало никаких опасных компонентов, когда оно было первоначально выпущено в сентябре 2021 года.
Как только текущие пользователи (и новые пользователи, которые загружали приложение прямо из Google Play) подвергались воздействию вредоносного кода AhRat, приложение начало скрытно отслеживать микрофон пользователя и передавать данные телефона пользователя на сервер, управляемый создателем вредоносного ПО.
Стефанко сказал, что аудиозапись «вписывается в уже определенную модель разрешений приложений», учитывая, что программа была создана специально для записи записей экрана с устройства и будет запрашивать доступ к микрофону.
Непонятно, кто и зачем вставил вредоносный код, сделал ли это разработчик или кто-то другой. До того, как приложение было удалено, адрес электронной почты разработчика был включен в список.
Google заблокировал более 1,4 миллиона приложений, нарушающих конфиденциальность, в Google Play.
По словам Стефанко, вредоносный код, вероятно, является частью более крупной шпионской операции, в рамках которой хакеры пытаются собрать данные о целях по своему выбору, иногда в правительственных или коммерческих целях. По его словам, «разработчик редко загружает законное приложение, ждет почти год, а затем обновляет его вредоносным кодом».
Некачественные приложения нередко попадают в магазины приложений, и появление AhMyth в Google Play также не является чем-то новым. И Google, и Apple проверяют приложения на наличие вредоносных программ, прежде чем разрешить пользователям загружать их, и иногда предпринимают агрессивные действия по удалению программ, когда они потенциально угрожают потребителям. Google заявил в прошлом году предотвратил появление в Google Play более 1,4 миллиона приложений, нарушающих конфиденциальность.
Вы занимаетесь кибербезопасностью? Тогда вам следует ознакомиться с нашей статьей «Роль кибербезопасности в соблюдении требований».
Source: Если вы использовали это приложение, вас могли шпионить
