Gần đây, Google đã loại bỏ một ứng dụng có tên “iRecorder – Screen Recorder” khỏi Play Store của mình sau khi phát hiện ra rằng nó chứa mã độc. Ứng dụng này đã được tải lên bởi một nhà phát triển có tên Coffeeholic Dev gần một năm trước, vào tháng 9 năm 2021. Nó đã được tải xuống hơn 50.000 lần, với chức năng độc hại được cho là đã được thêm vào trong phiên bản 1.3.8, phát hành vào ngày 24 tháng 8 năm 2022.
Mã độc dựa trên mã nguồn mở AhMyth Android RAT (Remote Access Trojan) và đã được tùy chỉnh thành cái mà các nhà nghiên cứu đặt tên là AhRat. Nó có khả năng trích xuất các bản ghi từ microphone và thu thập các tệp tin với các phần mở rộng cụ thể, cho thấy một động cơ tình báo có thể. Mặc dù không có bằng chứng nào liên kết hoạt động này với bất kỳ diễn viên đe dọa nào đã biết, AhMyth đã từng được Transparent Tribe sử dụng trong các cuộc tấn công nhắm vào Nam Á.
Trường hợp này là một ví dụ về kỹ thuật gọi là versioning, bao gồm việc tải lên một phiên bản sạch của ứng dụng lên Play Store để xây dựng niềm tin và sau đó thêm mã độc vào một giai đoạn sau thông qua cập nhật ứng dụng, để tránh bị phát hiện. Điều này nhắc nhở về cách một ứng dụng ban đầu hợp pháp có thể biến đổi thành một ứng dụng độc hại, ngay cả sau nhiều tháng, và theo dõi người dùng của mình.
Source: Hackernews
Để giảm thiểu các mối đe dọa tiềm năng này, quan trọng là thực hiện các biện pháp bảo mật mạng bổ sung với sự trợ giúp của đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn có thể tự kiểm tra bằng cách sử dụng check.website.