Una firma de seguridad cibernética dice que una popular aplicación de grabación de pantalla de Android que acumuló decenas de miles de descargas en la tienda de aplicaciones de Google posteriormente comenzó a espiar a sus usuarios, incluso robando grabaciones de micrófonos y otros documentos del teléfono del usuario.
La investigación realizada por ESET descubrió que la aplicación de Android, «iRecorder — Screen Recorder», introdujo el código malicioso como una actualización de la aplicación casi un año después de que apareciera por primera vez en Google Play. El código, según ESET, permitió que la aplicación cargara sigilosamente un minuto de audio ambiental desde el micrófono del dispositivo cada 15 minutos, así como filtrar documentos, páginas web y archivos multimedia del teléfono del usuario.
La aplicación ya no aparece en Google Play. Si ha instalado la aplicación, debe eliminarla de su dispositivo. Cuando la aplicación maliciosa se retiró de la tienda de aplicaciones, había acumulado más de 50 000 descargas.
ESET está llamando al código malicioso AhRat, una versión personalizada de un troyano de acceso remoto de código abierto llamado AhMyth. Los troyanos de acceso remoto (o RAT) aprovechan el amplio acceso al dispositivo de la víctima y, a menudo, pueden incluir control remoto, pero también funcionan de manera similar al spyware y al stalkerware.
Una captura de pantalla de iRecorder que figura en Google Play tal como se almacenó en caché en Internet Archive en 2022. Créditos de imagen: TechCrunch (captura de pantalla)
Lukas Stefanko, investigador de seguridad de ESET que descubrió el malware, dijo en una publicación de blog que la aplicación iRecorder no contenía funciones maliciosas cuando se lanzó por primera vez en septiembre de 2021.
Una vez que el código malicioso AhRat se envió como una actualización de la aplicación a los usuarios existentes (y a los nuevos usuarios que descargarían la aplicación directamente desde Google Play), la aplicación comenzó a acceder sigilosamente al micrófono del usuario y a cargar los datos del teléfono del usuario en un servidor controlado por el malware. operador. Stefanko dijo que la grabación de audio «encajaba dentro del modelo de permisos de la aplicación ya definido», dado que la aplicación estaba diseñada por naturaleza para capturar las grabaciones de pantalla del dispositivo y solicitaría acceso al micrófono del dispositivo.
No está claro quién plantó el código malicioso, ya sea el desarrollador o alguien más, o por qué motivo. TechCrunch envió un correo electrónico a la dirección de correo electrónico del desarrollador que estaba en la lista de la aplicación antes de que se retirara, pero aún no ha recibido respuesta.
Stefanko dijo que el código malicioso probablemente sea parte de una campaña de espionaje más amplia, donde los piratas informáticos trabajan para recopilar información sobre los objetivos de su elección, a veces en nombre de los gobiernos o por motivos financieros. Dijo que era «raro que un desarrollador cargara una aplicación legítima, esperara casi un año y luego la actualizara con un código malicioso».
No es raro que las malas aplicaciones se deslicen en las tiendas de aplicaciones, ni es la primera vez que AhMyth se abre camino en Google Play. Tanto Google como Apple analizan las aplicaciones en busca de malware antes de enumerarlas para su descarga y, a veces, actúan de manera proactiva para extraer aplicaciones cuando pueden poner en riesgo a los usuarios. El año pasado, Google dijo que evitó que más de 1,4 millones de aplicaciones que violan la privacidad llegaran a Google Play.