ESET-Forscher haben eine trojanisierte Android-App namens iRecorder entdeckt, bei der es sich um einen „Screen Recorder“ handelt. Es wird angenommen, dass die schädlichen Funktionen der Anwendung, die seit September 2021 legal bei Google Play verfügbar ist, im August 2022 hinzugefügt wurden. Während ihrer Zeit im Store wurde die Anwendung auf mehr als 50.000 Geräten installiert. Der der sauberen Version von iRecorder hinzugefügte Schadcode basiert auf dem Open-Source-Trojaner AhMyth Android RAT (Fernzugriffstrojaner) und wird von ESET AhRat genannt. Die Schad-App kann über das Mikrofon des Geräts Audio aufzeichnen und Dateien abspielen. was darauf hindeutet, dass er möglicherweise an einer Spionagekampagne beteiligt war.
Könnte bei Spionageangriffen eingesetzt worden sein
ESET Research teilte mit, dass außer dem Google Play Store keine anderen AhRats im Internet entdeckt wurden. Dies ist jedoch nicht das legale Debüt der auf AhMyth basierenden Android-Malware; ESET veröffentlichte bereits im Jahr 2019 Untersuchungen zu einer solchen trojanisierten Anwendung. Damals umging die Spyware, die auf den Grundlagen von AhMyth aufbaute, den App-Überprüfungsprozess von Google zweimal als schädliche Radio-App. Allerdings ist die iRecorder-App auch in alternativen und illegalen Android-Märkten zu finden, und der Entwickler hat möglicherweise auch andere Apps bei Google Play, die keinen Schadcode enthalten.
ESET-Forscher Lukáš Štefanko, der die Bedrohung entdeckt und untersucht hat, erklärt: „Die AhRat-Forschung ist ein gutes Beispiel dafür, wie sich eine zunächst legitime App im Laufe der Zeit in Malware verwandelt, die Benutzer ausspioniert und eine Sicherheitsverletzung verursacht.“ Es ist zwar möglich, dass der App-Entwickler beabsichtigte, eine Benutzerbasis aufzubauen, bevor er Android-Geräte durch ein Update kompromittiert, oder dass ein böswilliger Akteur die Änderung an der App vorgenommen hat; Bisher haben wir für keine dieser Hypothesen Beweise.“
Es kann sowohl den Bildschirm als auch den Umgebungsklang aufzeichnen.
Ferngesteuertes AhRat ist eine angepasste Version des Open-Source-AhMyth-RAT. Das bedeutet, dass die Autoren der Schad-App große Anstrengungen unternehmen, um sowohl die App als auch den Backend-Code zu verstehen und ihn letztendlich an ihre Bedürfnisse anzupassen. Neben der legitimen Bildschirmaufzeichnungsfunktion kann der bösartige iRecorder auch Umgebungsgeräusche vom Mikrofon des Geräts aufzeichnen und auf den Befehls- und Kontrollserver des Angreifers hochladen. Es kann auch aus Dateien mit Erweiterungen austreten, die gespeicherte Internetseiten, Bilder, Audio-, Video- und Dokumentdateien sowie Dateiformate bezeichnen, die zum Komprimieren mehrerer Dateien verwendet werden.
Allerdings können Android-Benutzer, die frühere, also saubere Versionen von iRecorder (vor Version 1.3.8) heruntergeladen haben, ihr Gerät AhRat aussetzen, selbst wenn sie keine zusätzliche App-Genehmigung erteilen, wenn sie die App manuell oder automatisch aktualisieren.
Lukáš Štefanko fuhr fort: „Glücklicherweise sind auf diese Weise vorbeugende Maßnahmen gegen bösartige Aktionen bereits in Android 11 und höher implementiert, wenn sich die Anwendung im Standby-Modus befindet. Diese Funktion versetzt Apps, die mehrere Monate lang inaktiv waren, effektiv in den Ruhezustand, setzt dadurch Laufzeitberechtigungen zurück und verhindert, dass bösartige Apps wie vorgesehen ausgeführt werden. Nach unserer Warnung wurde die bösartige App aus Google Play entfernt, was beweist, dass die Bereitstellung mehrerer Schutzebenen wie ESET Mobile Security von grundlegender Bedeutung ist, um Geräte vor potenziellen Sicherheitsverletzungen zu schützen.
ESET Research hat noch keine konkreten Beweise dafür gefunden, ob diese Aktivität mit einer bestimmten Kampagne oder APT-Gruppe in Zusammenhang steht.
Source: Technopat by www.technopat.net.
*The article has been translated based on the content of Technopat by www.technopat.net. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!
*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.
*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!
