Onderzoekers van ESET hebben een getrojaniseerde Android-app ontdekt met de naam iRecorder – Screen Recorder. In september 2021 was het beschikbaar op Google Play als een legitieme app. Waarschijnlijk werd de kwaadaardige functionaliteit in augustus 2022 toegevoegd. Tijdens zijn bestaan werd de app op meer dan 50.000 toestellen geïnstalleerd. De kwaadaardige code die aan de originele versie van iRecorder toegevoegd werd, is gebaseerd op de open-source AhMyth Android RAT (trojan met externe toegang).
· ESET, partner van Google App Defense Alliance, ontdekte een getrojaniseerde app die beschikbaar was in de Google Play Store en noemde die AhRat omdat die op AhMyth gebaseerd was.
· Aanvankelijk had de iRecorder-app geen schadelijke functies. Enkele maanden na zijn lancering kreeg de app een update met schadelijke code, wat vrij ongebruikelijk is.
· Het specifieke kwaadaardige gedrag van de app, waarbij microfoonopnames geëxtraheerd en bestanden met specifieke extensies gestolen worden, wijst mogelijk op betrokkenheid bij een spionagecampagne.
· De kwaadaardige app met meer dan 50.000 downloads werd, na de waarschuwing van ESET Research, van Google Play verwijderd. ESET heeft AhRat nergens anders in the wild gedetecteerd.
BRATISLAVA, KOŠICE , 23 mei 2023 — Onderzoekers van ESET hebben een getrojaniseerde Android-app ontdekt met de naam iRecorder – Screen Recorder. In september 2021 was het beschikbaar op Google Play als een legitieme app. Waarschijnlijk werd de kwaadaardige functionaliteit in augustus 2022 toegevoegd. Tijdens zijn bestaan werd de app op meer dan 50.000 toestellen geïnstalleerd. De kwaadaardige code die aan de originele versie van iRecorder toegevoegd werd, is gebaseerd op de open-source AhMyth Android RAT (trojan met externe toegang) en is aangepast tot wat ESET AhRat noemde. De kwaadaardige app kan audio opnemen met behulp van de microfoon van het toestel en bestanden te stelen. Dit suggereert dat het mogelijk deel uitmaakt van een spionagecampagne.
Buiten de Google Play Store heeft ESET Research AhRat nergens anders gedetecteerd. Dit is echter niet de eerste keer dat op AhMyth gebaseerde Android-malware beschikbaar is in de officiële winkel; reeds in 2019 publiceerde ESET onderzoek naar een dergelijke getrojaniseerde app. Voorheen omzeilde de spyware, ontwikkeld op basis van AhMyth, het app-doorlichtingsproces van Google twee keer, als een kwaadaardige app die radiostreaming mogelijk maakte. De iRecorder-app is ook te vinden op alternatieve en niet-officiële Android-markten. De ontwikkelaar biedt op Google Play ook andere apps aan, maar deze bevatten geen schadelijke code.
“De onderzoekscase van AhRat laat zien hoe een aanvankelijk legitieme app zelfs na vele maanden kan veranderen in een kwaadwillende app die gebruikers bespioneert en hun privacy schendt. Het is mogelijk dat de app-ontwikkelaar van plan was een gebruikersbestand op te bouwen voor hij hun Android-toestellen compromitteerde via een update, of dat een kwaadwillende persoon deze wijziging in de app heeft aangebracht. We hebben echter geen bewijs voor deze hypothesen”, aldus Lukáš Štefanko, de ESET-onderzoeker die de dreiging ontdekte en onderzocht.
De op afstand bestuurbare AhRat is een aanpassing van de open-source AhMyth RAT. Dit betekent dat de auteurs van die app veel moeite hebben gedaan om de code van zowel de app als de back-end te begrijpen en deze uiteindelijk aan hun eigen behoeften aan te passen.
Naast het bieden van legitieme schermopnamefunctionaliteiten, kan de kwaadwillende iRecorder omringende audio met de microfoon van het toestel opnemen en naar de commando- en controleserver van de aanvaller uploaden. Het kan ook bestanden van het toestel exfiltreren met extensies van opgeslagen webpagina’s, afbeeldingen, audio-, video- en documentbestanden alsook bestandsindelingen die gebruikt worden voor het comprimeren van meerdere bestanden.
Android-gebruikers die een oudere versie van iRecorder (vóór versie 1.3.8) hadden geïnstalleerd, die geen schadelijke functies had, zouden, zonder het te weten, hun toestellen aan AhRat blootgesteld hebben als ze de app vervolgens handmatig of automatisch hadden bijgewerkt, zelfs zonder verdere app-toestemming te verlenen.
“Gelukkig zijn er reeds preventieve maatregelen, onder de vorm van app-slaapstand, tegen dergelijke kwaadaardige acties geïmplementeerd in Android 11 en hogere versies. Deze functie plaatst apps die enkele maanden inactief zijn geweest effectief in een slaapstand, waardoor hun runtimerechten gereset worden. Zo voorkomt men dat schadelijke apps functioneren zoals bedoeld. Na onze waarschuwing werd de kwaadaardige app van Google Play verwijderd. Dit bevestigt dat de noodzaak voor een bescherming met meerdere lagen, zoals ESET Mobile Security, essentieel blijft tegen mogelijke beveiligingsinbreuken”, concludeert Štefanko.
Tot nog toe heeft ESET Research geen concrete bewijzen gevonden dat deze activiteit aan een bepaalde campagne of APT-groep kan toegeschreven worden.
Voor meer technische informatie over de iRecorder-app en AhRat, lees de blog “Android app breaking bad: From legitimate screen recording to file exfiltration within a year” op WeLiveSecurity. Volg ESET Research on Twitter voor het laatste nieuws van ESET Research.