Специалистите от компанията за сигурност и защита ESET са се натъкнали на рядък случай на зловредна дейност, свързана с приложение в магазина на Android. Невинно приложение за правене на снимка на екрана било превърнато в опасен шпионски софтуер повече от година след публикуването му в Google Play. Източникът на атаката е неизвестен и макар премахнато от магазина на Android, то е много вероятно, апликацията да може да се свали свободно от някой от десетките неофициални магазини за операционната система.
В края на септември разработчик публикува в Google Play приложение с името iRecorder – Screen Recorder. Напълно безвредно и преминало всички проверки за безопасност, то правило, това, което се предполага – снимало екрана на устройството. С версия 1.3.8 от август 2022 на iRecorder – Screen Recorder обаче, то придобило нежелани функционалности. Не е известно дали самият разработчик на приложението или трета страна е успял да интегрира в апликацията изменена от хакера или хакерите версия троянски кон AhMyth Android RAT – шпионски софтуер с мощни възможности. Тази специална версия на AhMyth, ESET кръстили AhRat. За разлика от AhMyth, който ESET засичат да се използва преди четири години от популярна хакерска група, то AhRat не е виждан да е използван някъде другаде.
Вече троянизираната версия на iRecorder – Screen Recorder предлагала множество възможности на хакерите. Освен отдалечен контрол, приложението може да записва звуци чрез микрофона на устройството и да ги качва към командния сървър на хакерите, да извлича файлове по зададени предварително параметри, да следи и записва историята на браузванията, извлича записи от микрофона и да краде файлове с конкретни разширения, подсказващо, че става дума за целенасочена шпионска кампания. ESET посочват, че до март тази година апликацията е свалена над 50 000 пъти. Що се отнася до приписването на отговорност за атаката, то от компанията отбелязват, че вече са забелязвали AhMyth да се използва от конкретна APT (Advanced Persistent Threat) група, позната, като Transparent Tribe или APT36. Това е политически мотивирана хакерска група, известна с атаките си към правителствени и военни организации в Азия, като според някои анализатори е свързана с пакистанското правителство. Все пак от ESET уточняват, че не могат категорично да припишат настоящата кампания на APT36.
„Анализът на AhRat служи като добър пример за това как едно на вид легитимно приложение може да се превърне в зловредно, дори и след много месеци, шпионирайки потребителите си и нарушавайки конфиденциалността на информацията им“, пишат в заключение ESET. Те посочват, че за щастие, подобен род атаки, при които едно приложение може да бъде качено като безопасно в Play, а впоследствие да му бъде добавена зловредна функционалност ще са по-трудни с Android 11 и по-нови версии на системата. Става дума за характеристика, известна като App Hybernation, при която неактивни с месеци апликации биват поставяни в своеобразна хибернация, а разрешенията, които искат при инсталирани биват изичстени.
