Недавно Google удалил приложение под названием “iRecorder – Screen Recorder” из своего магазина Play Store, после того как было обнаружено, что оно содержит вредоносный код. Приложение было загружено разработчиком под именем Coffeeholic Dev почти год назад, в сентябре 2021 года. Оно было скачано более 50 000 раз, и считается, что вредоносная функциональность была добавлена в версии 1.3.8, выпущенной 24 августа 2022 года.
Вредоносный код был основан на открытом исходном коде AhMyth Android RAT (Remote Access Trojan) и был настроен в то, что исследователи назвали AhRat. Он мог извлекать записи с микрофона и собирать файлы с определенными расширениями, указывая на возможный шпионский мотив. Хотя нет доказательств, связывающих эту активность с каким-либо известным угрозовым актором, AhMyth ранее использовался Transparent Tribe в атаках, направленных на Южную Азию.
Этот случай является примером техники, называемой версионированием, которая включает загрузку чистой версии приложения в Play Store для создания доверия, а затем добавление вредоносного кода на более позднем этапе через обновления приложения, чтобы избежать обнаружения. Это служит напоминанием о том, как изначально легитимное приложение может превратиться в вредоносное, даже спустя много месяцев, и шпионить за своими пользователями.
Source: Hackernews
Чтобы смягчить эти потенциальные угрозы, важно внедрить дополнительные меры кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сделать это самостоятельно, используя check.website.