Niewinnie wyglądająca i legalna aplikacja na Androida prawie rok od momentu, kiedy pojawiła się w Google Play, zaczęła co 15 minut wysyłać nagrania z mikrofonu.
Opisując ten przypadek, ma się na początku wrażenie, że głównym elementem tej historii nie jest program, a jakiś… niezidentyfikowany sprawca. Wydawać by się mogło, że program w pewnym momencie po prostu zmienił swoje zachowanie i „wybrał zło”. Oczywiście rozwiązanie tej zagadki nie jest niczym niesamowitym i na pewno nie trafiłoby do akt „Z Archiwum X”, ale i tak szokuje skala i metoda ataku na użytkowników.
Zobacz także: Cyberataki w 2023 roku – co nas czeka i na co zwrócić uwagę?
Program do rejestrowania ekranu nagrywał użytkowników
Jak podaje Ars Technica, aplikacja do nagrywania iRecorder Screen Recorder była kolejnym niewielkim programem do rejestrowania i zapisywania obrazu ekranu. Aplikacji jak ta możesz mieć na smartfonie dziesiątki. Niestety prawie rok od pojawienia się w sklepie Google Play przeszła na „złą stronę mocy” – w sierpniu 2022 r. po aktualizacji zaczęła nagrywać minutę dźwięku co 15 minut i przekazywać te nagrania za pomocą zaszyfrowanego łącza na serwer programisty i jednocześnie twórcy iRecorder.
Dokładniej przyjrzeć się sprawie postanowił badacz z firmy zajmującej się bezpieczeństwem ESET Lukas Stefanko, który opisując sprawę na blogu, ustalił, że podczas aktualizacji aplikacja zyskała zupełnie nową funkcję – możliwość „zdalnego włączania mikrofonu urządzenia i nagrywania dźwięku, łączenia się z serwerem kontrolowanym przez osobę atakującą oraz przesyłania plików audio i innych poufnych plików, które były przechowywane na urządzeniu”.
Stefanko zaznacza, że powodem zmiany „zachowania” aplikacji był trojan zdalnego dostępu open source RAT, a funkcje szpiegowskie zostały dodane do aplikacji przy użyciu kodu z AhMyth.
Podczas mojej analizy AhRat był w stanie aktywnie wydobywać dane i nagrywać mikrofon (kilka razy usuwałem aplikację i instalowałem ją ponownie, a aplikacja zawsze zachowywała się tak samo) (…). Konfiguracja była odbierana co 15 minut, a czas trwania rekordu ustawiony na 1 minutę. Podczas analizy moje urządzenie zawsze otrzymywało polecenia nagrywania i wysyłania dźwięku z mikrofonu do C2. Zdarzyło się to 3-4 razy, po czym zatrzymałem złośliwe oprogramowanie.
Lukas Stefanko
Cyberatak przez aplikację Androida
Ani złośliwe oprogramowanie, ani kod nie są niczym nowym, a aplikacje z takimi „niespodziankami” pojawiały się już wcześniej w sklepie Google Play. To też nie pierwszy raz, kiedy aplikacje próbują nielegalnie nas „podsłuchiwać”. Ostatnio podejrzenia padły na popularny komunikator WhatsApp. Ale choć to nie nowość, że pojawiają się programy na Androida, które są szkodliwe dla użytkowników, w tym przypadku zadziwia skala przesyłu danych. Aplikacja miała 50 000 pobrań do czasu jej zgłoszenia i usunięcia ze Sklepu Play.
Na ten moment nie wiadomo, czy trojan został wysłany do określonej grupy osób czy do wszystkich, którzy pobrali i zaktualizowali aplikację. Stefanko powiedział jednak, że istnieje prawdopodobieństwo, że cała akcja jest tylko częścią większej kampanii szpiegowskiej.
Zobacz też: 5 sposobów na bezpieczne konta. Ataki hakerskie nie będą problemem
Źródło: Ars Technica, We live security