ESET, una empresa de seguridad digital, ha identificado una aplicación maliciosa en Google Play con más de 50 mil instalaciones.
El iRecorder – Screen Recorder fue enviado a la tienda sin ninguna funcionalidad maliciosa en septiembre de 2021, pero se agregó un código malicioso basado en el RAT (troyano de acceso remoto) AhMyth en la versión 1.3.8 en agosto de 2022.
La aplicación puede grabar audio ambiente del micrófono del dispositivo y extraer archivos con extensiones específicas, lo que sugiere que forma parte de una campaña de espionaje. ESET identificó la versión maliciosa de la aplicación y compartió sus descubrimientos con Google, que eliminó la aplicación de la tienda.
El iRecorder malicioso es un ejemplo raro de un desarrollador que envía una aplicación legítima y luego la actualiza con un código malicioso.
Si bien no es la primera vez que ESET detecta malware para Android basado en AhMyth en Google Play, es importante tener en cuenta que el iRecorder también se puede encontrar en mercados alternativos y no oficiales de Android.
Además, los usuarios que habían instalado una versión anterior de la aplicación podrían haber expuesto sus dispositivos a AhRat sin saberlo, en caso de que posteriormente actualizaran la aplicación manualmente o automáticamente, incluso sin otorgar ninguna aprobación adicional de permisos de la aplicación.
Durante el análisis del iRecorder malicioso, ESET identificó dos versiones de código malicioso basadas en AhMyth RAT. La primera versión contenía partes del código malicioso de AhMyth RAT, copiadas sin ninguna modificación.
Por otro lado, la segunda versión, llamada AhRat, también estaba disponible en Google Play y su código AhMyth había sido personalizado. Aunque AhMyth RAT es una herramienta poderosa capaz de realizar varias funciones maliciosas, las funcionalidades maliciosas de iRecorder parecen ajustarse al modelo de permisos de aplicaciones ya establecido, otorgando acceso a archivos en el dispositivo y permitiendo la grabación de audio.
ESET continúa monitoreando la amenaza y recomienda que los usuarios eviten instalar aplicaciones de fuentes no confiables y verifiquen los permisos solicitados por las aplicaciones antes de instalarlas.