Google va eliminar recentment una aplicació anomenada “iRecorder – Screen Recorder” de la seva Play Store després de ser trobada amb codi maliciós. L’aplicació havia estat penjada per un desenvolupador anomenat Coffeeholic Dev gairebé fa un any, a setembre de 2021. Havia aconseguit més de 50.000 instal·lacions, amb la funcionalitat maliciosa creguda afegida a la versió 1.3.8, llançada el 24 d’agost de 2022.
El codi maliciós es basava en el RAT Android AhMyth de codi obert (Troià d’Accés Remot) i havia estat personalitzat en el que els investigadors van anomenar AhRat. Era capaç d’extreure gravacions de micròfon i recopilar fitxers amb extensions específiques, indicant un possible motiu d’espionatge. Encara que no hi ha cap evidència que relaciona l’activitat amb cap actor de amenaces conegut, AhMyth s’ha utilitzat anteriorment per Transparent Tribe en atacs que van dirigir al sud d’Àsia.
Aquest cas és un exemple d’una tècnica anomenada versió, que implica pujar una versió neta de l’aplicació a la Play Store per construir confiança i després afegir codi maliciós en una etapa posterior a través d’actualitzacions d’aplicacions, per tal d’evitar la detecció. Serveix com un recordatori de com una aplicació inicialment legítima pot transformar-se en una maliciosa, fins i tot després de molts mesos, i espiar els seus usuaris.
Source: Hackernews
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.