Es wurde ein neuer Fall einer Schadanwendung entdeckt ESETEin Cyber-Sicherheitsunternehmen, bei dem er feststellte, dass die Plattform ein Jahr lang lief und ihre Dienste sicher bereitstellte, begann dann mit böswilliger Spionage gegen Benutzer.
iRecorder – Bildschirmrekorder Der Name der verfügbaren Anwendung Google Play StoreFür Mobiltelefone AndroidLäuft einwandfrei, bietet Optionen zum Aufzeichnen des Telefonbildschirms und wurde bereits über 50.000 Mal heruntergeladen.
Die App wurde im September 2021 veröffentlicht und erhielt ein Jahr später, im August 2022, ein Update, das Malware enthielt, die darauf abzielte, Dateien zu stehlen und Audio vom Gerät aufzuzeichnen.
„Es kommt selten vor, dass ein Entwickler eine legitime App hochlädt, fast ein Jahr wartet und sie dann mit bösartigem Code aktualisiert. Der in der sauberen Version von iRecorder enthaltene bösartige Code basiert auf einem Open-Source-RAT (Remote Access Trojan) für Android.“ sagte Camilo Gutierrez, Leiter des ESET Latin America Research Lab. .
iRecorder hat seinen Zweck erfüllt, den Bildschirm aufzuzeichnen, und trotz eines böswilligen Updates funktioniert es für den Benutzer immer noch. Gleichzeitig zeichnete es den Ton auf dem Mobiltelefon auf und lud ihn auf den Befehls- und Kontrollserver des Angreifers hoch.
Der Zugriff auf das Mikrofon erfolgt über die Erlaubnis, die der Benutzer bei der Installation der Anwendung erteilt, da eine ihrer Funktionen darin besteht, den Bildschirm einschließlich Audio aufzuzeichnen.
Darüber hinaus überträgt die Plattform Dateien wie gespeicherte Webseiten, Bilder, Audiodateien, Videodateien und Dokumente auf den Server.
Obwohl diese Art von bösartigem Verhalten in Spionagekampagnen zum Einsatz kommt, konnte das Unternehmen im Rahmen seiner Untersuchung nicht herausfinden, wer für diesen Angriff verantwortlich war und welcher Benutzer die Anwendung hochgeladen hatte. Spieleladen Es gibt noch andere Apps im Store, aber alle sind echt.
„Nachdem das Sicherheitsteam von Google Play das böswillige Verhalten von iRecorder gemeldet hatte, entfernte es die App aus dem Store. Es ist jedoch zu beachten, dass die Anwendung möglicherweise auch auf Märkten verfügbar ist Android Alternativ und inoffiziell“, versicherte Gutierrez.
Ahmed RATDie in diesem Fall verwendete Malware wurde von Transparent Tribe, auch bekannt als APT36, verwendet, einer Social-Engineering-Cyberspionagegruppe, die häufig Regierungs- und Militärorganisationen in Südasien ins Visier nimmt.
Dieses Angriffstool bietet eine Vielzahl schädlicher Funktionen, darunter das Extrahieren von Anrufprotokollen, Kontakten und Textnachrichten. Es kann eine Liste der Dateien auf dem Gerät abrufen, den Standort des Geräts verfolgen, SMS-Nachrichten senden, Audio aufzeichnen und Fotos aufnehmen.
Um diese Anwendung anzugreifen, nutzten die Cyberkriminellen jedoch die bei der Installation der Website erhaltenen Berechtigungen aus und forderten keine neuen Zugriffe an, die Aufmerksamkeit erregten, weshalb sie sich auf die Aufnahme von Audiodaten und den Diebstahl von Dateien beschränkten.
„Diese Untersuchung ist ein Beispiel dafür, wie eine ursprünglich legitime App auch Monate später bösartig werden kann. Der Entwickler dieser App hatte möglicherweise die Absicht, eine Benutzerbasis aufzubauen, bevor er seine Android-Geräte mit einem Update kompromittiert, oder ein böswilliger Akteur hat diese Änderung möglicherweise eingeführt.“ zur App“, schloss der Experte.
„Professioneller Twitter-Liebhaber. Musikfan. Zombie-Guru. Unheilbarer Bacon-Fan. Organisator. Reise-Fan. Amateur-Web-Experte.“
More Stories
WhatsApp: Der falsche Trick, um herauszufinden, was in einer gelöschten Nachricht stand
Motorola startet Werbung für seine Motorradfamilie
Computerbildschirm funktioniert nicht oder sieht schlecht aus: Ursachen und mögliche Lösungen