Популярное приложение для Android из Google Play начало тайно шпионить за своими пользователями

Фирма по кибербезопасности ESET сообщает, что популярное приложение для записи экрана Android, которое набрало десятки тысяч загрузок в магазине приложений Google, впоследствии начало шпионить за своими пользователями, в том числе путем кражи записей с микрофона и других документов с телефона пользователя.

Популярное приложение для Android из Google Play начало тайно шпионить за своими пользователями. Фото: СС0

Исследование ESET показало, что авторы приложения для Android iRecorder — Screen Recorder интегрировали вредоносный код в качестве обновления почти через год после того, как оно впервые появилось в Google Play. Код, по словам представителя ESET, позволял приложению каждые 15 минут незаметно загружать минутный фоновый звук с микрофона устройства, а также извлекать документы, веб-страницы и мультимедийные файлы с телефона пользователя.

Приложение больше не находится в Google Play. Если вы установили приложение, вам следует удалить его со своего устройства, предупреждают исследователи. К моменту удаления вредоносного приложения из магазина приложений его скачали более 50 тыс. раз.

В ESET называют вредоносный код AhRat — модифицированной версией трояна удаленного доступа с открытым исходным кодом под названием AhMyth. Трояны удаленного доступа (или RAT) пользуются преимуществами широкого доступа к устройству жертвы и часто могут включать в себя удаленное управление, но также действуют аналогично программам-шпионам и программам-преследователям .

Лукас Стефанко, исследователь безопасности в ESET, обнаруживший вредоносное ПО, сообщил в своем блоге, что приложение iRecorder не содержало вредоносных функций при первом запуске в сентябре 2021 года.

Как только вредоносный код AhRat был отправлен в качестве обновления приложения существующим пользователям (и новым пользователям, которые загружали приложение непосредственно из Google Play), приложение начало скрытно получать доступ к микрофону пользователя и загружать данные телефона пользователя на сервер, контролируемый оператором вредоносного ПО. Стефанко сказал, что аудиозапись «вписывается в уже определенную модель разрешений приложений», учитывая, что приложение по своей природе предназначено для захвата записей экрана устройства и будет запрашивать доступ к микрофону устройства.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме