Hacker čakal rok, kým do legitímnej aplikácie dal vírus. Teraz nahráva, čo robíte. Túto aplikáciu odstráňte!
Experti z ESETu popísali zvláštny prípad infikovanej aplikácie, ktorá v sebe ukrýva zákerného trójskeho koňa.
Experti z ESETu odhalili kuriózny prípad škodlivej aplikácie, ktorá sa dostala do Obchodu Play a dones má zaznamenaných viac ako 50-tisíc stiahnutí. Jej názov je iRecorder – Screen Recorder a na prvý pohľad ide o učebnicový príklad zdanlivo legitímnej aplikácie, ktorá v sebe ukrýva trójskeho koňa. Prípad sa však zamotáva.
Výskumníci si totiž všimli, že spočiatku išlo skutočne o legitímnu aplikáciu, ktorá sa dostala do obchodu v roku 2021. Škodlivé funkcie vývojár pridal až neskôr vo verzii 1.3.8 v auguste 2022. Typicky hackeri ukradnú kód legitímnej aplikácie, trochu ju pozmenia, pridajú malvér a distribuujú ju pod iným názvom so škodlivým softvérom implementovaným „od výroby“. Je mimoriadne nezvyčajné, aby útočník čakal takmer rok a až potom pridal malvér do svojej čistej aplikácie.
Všetko naznačuje tomu, že vývojár využil open-source (pozn. redakcie: Voľne dostupný a modifikovateľný softvér) AhMyth Android RAT, pričom RAT znamená remote access trojan. Hacker tohto trójskeho koňa modifikoval a bezpečnostní experti mu dali meno AhRat. Malvér AhRat sa momentálne objavuje len v rámci tohto jedného prípadu, no nie je to po prvýkrát, čo hackeri využili AhMyth malvér na platforme Google Play. Podobné škodlivé softvéry sa šíria minimálne od roku 2019. Vtedy išlo o spyware, ktorý dokázal v dvoch prípadoch obísť bezpečnostné algoritmy obchodu ako aplikácia poskytujúca streamovanie rádiových staníc.
Čo sa však týka aplikácie iRecorder – Screen recorder, tá skutočne poskytuje možnosť nahrávania obrazovky, no popri tom má ešte ďalšie funkcie, ktoré sa nám už nemusia páčiť. Aplikácia dokáže prostredníctvom mikrofónu nahrávať zvuk okolo zariadenia a následne audio súbory posúva na server hackera. Zároveň dokáže z nášho zariadenia posielať útočníkovi rôzne druhy súborov, napríklad uložené stránky, obrázky, audio a video súbory či dokumenty.
Bezpečnostní experti majú podozrenie, že by aplikácia mohla byť súčasťou špionážnej hackerskej kampane. Zatiaľ však nevedia povedať, či za ňou stojí nejaká konkrétna hackerská skupina.
Neprehliadnite
Šírenie malvéru
Ako sme už spomenuli, po prvýkrát sa do Obchodu Play dostala aplikácia v roku 2019. Pôvodne išlo o legitímnu a neškodnú aplikáciu, no po roku sa vývojár rozhodol pridať do nej trójskeho koňa. Kritická aktualizácia prišla okolo augusta 2022 s verziou 1.3.8. K marcu 2023 mala aplikácia cez 50-tisíc stiahnutí. V bezpečí neboli ani užívatelia, ktorí si stiahli pôvodnú čistú verziu. Tí sa v rámci aktualizácie stali nevedomými obeťami trójskeho koňa AhRat, ak teda aplikáciu aktualizovali. V tomto prípade užívatelia udelili všetky povolenia aplikácii ešte pred implementáciou malvéru, škodlivý softvér sa teda do ich smartfónov dostal nepozorovane.
Dobrou správou je, že dnes už aplikáciu v Obchode Play nenájdete. Na požiadavku bezpečnostných expertov Google reagoval rýchlo. Aplikáciu ale stále nájdete na neoficiálnych obchodoch. Zároveň asi netreba pripomínať, že ak ste si náhodou aplikáciu stiahli, mali by ste ju bezodkladne odstrániť a prejsť celé zariadenie s kvalitným antivírovým programom.
Vývojár aplikácie iRecorder do Obchodu Play nahral aj niekoľko ďalších aplikácií, no tie neobsahujú žiaden škodlivý softvér. Experti si všimli aj to, že v kóde sa nachádza viac príkazov, než dokáže malvér AhRat vykonať. To značí, že niektoré z funkcií neboli implementované. V tomto prípade môže ísť o lite verziu malvéru, no aj napriek tomu dokáže nahrávať audio a posielať citlivé súbory hackerovi.
Komentáre