Einem Cybersicherheitsunternehmen zufolge begann eine beliebte Android-App zur Bildschirmaufzeichnung, die Zehntausende Downloads im App Store von Google verzeichnete, anschließend damit, ihre Nutzer auszuspionieren, unter anderem durch den Diebstahl von Mikrofonaufnahmen und anderen Dokumenten vom Telefon des Nutzers.
Untersuchungen von ESET ergaben, dass die Android-App „iRecorder – Screen Recorder“ den Schadcode als App-Update fast ein Jahr nach ihrer ersten Auflistung bei Google Play einführte. Laut ESET ermöglichte der Code der App, alle 15 Minuten heimlich eine Minute Umgebungsgeräusch vom Mikrofon des Geräts hochzuladen sowie Dokumente, Webseiten und Mediendateien vom Telefon des Benutzers zu extrahieren.
Die App ist nicht mehr gelistet im Google Play. Wenn Sie die App installiert haben, sollten Sie sie von Ihrem Gerät löschen. Als die bösartige App aus dem App Store entfernt wurde, hatte sie mehr als 50.000 Downloads verzeichnet.
ESET nennt den Schadcode AhRat, eine angepasste Version eines Open-Source-Fernzugriffstrojaners namens AhMyth. Remote-Access-Trojaner (RATs) nutzen einen breiten Zugriff auf das Gerät eines Opfers und können oft eine Fernsteuerung beinhalten, funktionieren aber auch ähnlich wie Spyware und Stalkerware.
Ein Screenshot von iRecorder, der in Google Play aufgeführt ist, da er 2022 im Internetarchiv zwischengespeichert wurde. Bildnachweis: Tech (Screenshot)
Lukas Stefanko, ein Sicherheitsforscher bei ESET, der die Malware entdeckt hat, sagte in einem Blogbeitrag dass die iRecorder-App bei ihrem ersten Start im September 2021 keine schädlichen Funktionen enthielt.
Nachdem der bösartige AhRat-Code als App-Update an bestehende Benutzer (und neue Benutzer, die die App direkt von Google Play herunterluden) weitergegeben wurde, begann die App, heimlich auf das Mikrofon des Benutzers zuzugreifen und die Telefondaten des Benutzers auf einen von der Malware kontrollierten Server hochzuladen Operator. Stefanko sagte, dass die Audioaufzeichnung „in das bereits definierte App-Berechtigungsmodell passt“, da die App von Natur aus darauf ausgelegt sei, die Bildschirmaufzeichnungen des Geräts zu erfassen, und darum bitten würde, Zugriff auf das Mikrofon des Geräts zu gewähren.
Es ist nicht klar, wer den Schadcode eingeschleust hat – ob der Entwickler oder jemand anderes – und aus welchem Grund. Tech schickte eine E-Mail an die E-Mail-Adresse des Entwicklers, die vor der Entfernung in der Liste der App aufgeführt war, hat jedoch noch keine Antwort erhalten.
Stefanko sagte, der Schadcode sei wahrscheinlich Teil einer umfassenderen Spionagekampagne, bei der Hacker daran arbeiten, Informationen über Ziele ihrer Wahl zu sammeln – manchmal im Auftrag von Regierungen oder aus finanziell motivierten Gründen. Er sagte, es sei „selten, dass ein Entwickler eine legitime App hochlädt, fast ein Jahr wartet und sie dann mit bösartigem Code aktualisiert“.
Es ist nicht ungewöhnlich, dass schlechte Apps in die App Stores gelangen, und es ist auch nicht das erste Mal, dass AhMyth dies tut kroch seinen Weg in Google Play. Sowohl Google als auch Apple prüfen Apps auf Malware, bevor sie sie zum Download anbieten, und handeln manchmal proaktiv, um Apps abzurufen, wenn sie Benutzer gefährden könnten. Letztes Jahr, Google genannt Es verhinderte, dass mehr als 1,4 Millionen datenschutzverletzende Apps auf Google Play gelangten.