Google recientemente eliminó una aplicación llamada “iRecorder – Screen Recorder” de su Play Store después de que se descubrió que contenía código malicioso. La aplicación había sido cargada por un desarrollador llamado Coffeeholic Dev casi un año antes, en septiembre de 2021. Había acumulado más de 50.000 instalaciones, con la funcionalidad maliciosa que se creía que se había agregado en la versión 1.3.8, lanzada el 24 de agosto de 2022.
El código malicioso se basaba en el RAT Android AhMyth de código abierto (Trojan de acceso remoto) y había sido personalizado en lo que los investigadores llamaron AhRat. Era capaz de extraer grabaciones de micrófono y recolectar archivos con extensiones específicas, indicando un posible motivo de espionaje. Aunque no hay evidencia que vincule la actividad con ningún actor de amenazas conocido, AhMyth ha sido utilizado anteriormente por Transparent Tribe en ataques dirigidos a Asia del Sur.
Este caso es un ejemplo de una técnica llamada versionado, que implica cargar una versión limpia de la aplicación en el Play Store para generar confianza y luego agregar código malicioso en una etapa posterior a través de actualizaciones de la aplicación, con el fin de evadir la detección. Sirve como recordatorio de cómo una aplicación inicialmente legítima puede transformarse en una maliciosa, incluso después de muchos meses, y espiar a sus usuarios.
Source: Hackernews
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.