Google ha recentemente rimosso un’app chiamata “iRecorder – Screen Recorder” dal suo Play Store dopo che è stato scoperto che conteneva codice malevolo. L’app era stata caricata da uno sviluppatore di nome Coffeeholic Dev quasi un anno prima, a settembre 2021. Aveva accumulato oltre 50.000 installazioni, con la funzionalità maligna che si ritiene sia stata aggiunta nella versione 1.3.8, rilasciata il 24 agosto 2022.
Il codice malevolo era basato sul RAT Android AhMyth open source (Remote Access Trojan) e era stato personalizzato in ciò che i ricercatori hanno chiamato AhRat. Era in grado di estrarre registrazioni del microfono e raccogliere file con estensioni specifiche, indicando un possibile motivo di spionaggio. Anche se non ci sono prove che colleghino l’attività a un attore minaccioso noto, AhMyth è stato precedentemente utilizzato da Transparent Tribe in attacchi mirati al Sud-Est asiatico.
Questo caso è un esempio di una tecnica chiamata versioning, che consiste nel caricare una versione pulita dell’app nello Store Play per costruire fiducia e quindi aggiungere codice maligno in un secondo momento tramite aggiornamenti dell’app, al fine di eludere il rilevamento. Serve come promemoria di come un’applicazione inizialmente legittima possa trasformarsi in una maligna, anche dopo molti mesi, e spiare i suoi utenti.
Source: Hackernews
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.