یک اپلیکیشین محبوب اندرویدی از کاربران جاسوسی می‌کند

به گزارش پیوست، تحقیقات ESET نشان می‌دهد که اپلیکیشن اندرویدی «iRecorder-Screen Recorder» کد مخرب خود را حدود یک سال پس از لیست شدن در گوگل پلی به عنوان یک بروزرسانی ارائه کرده است.

به نقل از تک‌کرانچ، این شرکت امنیت سایبری می‌گوید کد موجود در بروزرسانی به اپلیکیشن اجازه می‌دهد هر ۱۵ دقیقه صدای فضا را از میکروفون دستگاه به مدت یک دقیقه بارگذاری و مستندات، صفحات وب و فایل‌های رسانه‌ای گوشی را نیز برای سرور اپلیکیشن ارسال کند.

این اپلیکیشن در حال حاضر از گوگل پلی حذف شده است. در صورتی که آن را پیشتر روی دستگاه خود نصب کرده‌اید سریعا برای حذف آن اقدام کنید. در زمان حذف این اپلیکیشن از این فروشگاه، حدود ۵۰ هزار دانلود برای آن به ثبت رسیده بود.

ESET کد مخرب موجود در این اپلیکیشن را AhRat نامیده که نسخه شخصی‌سازی شده یک تروجان دسترسی از راه دور به نامAhMyth است. تروجان‌های دسترسی از راه دور (یا RATها) از راه دور دسترسی به دستگاه قربانی را امکان‌پذیر می‌کنند و معمولا عملکردی مشابه جاسوس‌افزار نیز دارند.

لوکاس استفانکو، محقق امنیتی ESET که این بد‌افزار را شناسایی کرده در یک پست وبلاگی گفت اپلیکیشن iRecorder در ابتدای فعالیتش در سپتامبر ۲۰۲۱ هیچ قابلیت مخربی نداشت.

زمانی که کد AhRat به عنوان یک بروزرسانی به دستگاه کاربران وارد شد،‌ این اپلیکیشن دسترسی به میکروفون و بارگذاری داده‌های گوشی به سرور تحت کنترل خود را آغاز کرد. استفانکو می‌گوید ضبط صدا پیش از آن در دستگاه مجاز شده بود و با توجه به ماهیت اپلیکیشن که برای ضبط صفحه طراحی شده بود، درخواست چنین اجازه‌ای عجیب به نظر نمی‌رسید.

مشخص نیست چه کسی این کد بدافزاری را وارد اپلیکیشن کرده است یا دلیل این کار چیست.

استفانکو می‌گوید این کد بدافزاری احتمالا جزئی از یک کارزار بزرگتر جاسوسی است که هکرها اهداف مشخصی را برای جاسوسی و جمع‌آوری اطلاعات در نظر می‌گیریند و گاهی این کار را از جانب دولت‌ها یا به با هدف کسب درآمد انجام می‌دهند. او می‌گوید به ندرت پیش می‌آید که «یک توسعه دهنده اپلیکشین سالمی را بارگذاری کند، یک سال صبر کند و بعد با یک کد مخرب آن را برزورسانی کند.»

ورود اپلیکیشن‌های آلوده به فروشگاه‌های اپلیکیشنی عجیب نیست و این اولین حضور AhMyth در گوگل پلی محسوب نمی‌شود. گوگل و اپل هردو اپلیکیشن‌ها را از لحاظ بدافزاری پیش از لیست شدن بررسی می‌کنند و گاها در صورت بروز خطر آن را سریعا حذف می‌کنند. گوگل سال گذشته گفت که از ورود ۱.۴ میلیون اپلیکیشن ناقض حریم خصوصی به گوگل پلی جلوگیری کرده است.