Un’app distribuita sul Google Play Store e scaricata oltre 50mila volte nascondeva in realtà un insidioso trojan. L’app si chiama iRecorder – Screen Recorder, e, sulla carta, consentiva di registrare lo schermo, creando un breve video. In realtà faceva anche molto altro, all’insaputa dell’utente. In particolare, ogni 15 minuti l’app attivava il microfono per origliare le conversazioni dell’utente.
iRecorder – Screen Recorder aveva raggiunto oltre 50.000 installazioni. Inizialmente l’app non conteneva funzionalità malevole, la trojanicizzazione è avvenuta solamente con un aggiornamento successivo, rilasciato a distanza di alcuni mesi dal caricamento dell’app sul Play Store. Secondo i ricercatori di ESET, le funzioni malevole sarebbero state implementate solamente con l’aggiornamento 1.3.8 uscito ad agosto del 2022.
Quella di nascondere funzionalità malevole con aggiornamenti successivi è una pratica sempre più diffusa tra i criminali, che così facendo hanno più possibilità di aggirare i controlli di sicurezza del Play Store.
Il trojan, AhRat, che è a sua volta basato su il malware AhMyth, è in grado di intercettare e rubare file di dimensioni specifiche, inoltre attiva il microfono all’insaputa dell’utente per effettuare registrazioni. Dopo l’allarme di ESET, l’app malevola è stata rimossa dal Google Play Store, inoltre i ricercatori sostengono di non aver trovato altre tracce di AhRat sulle altre applicazioni presenti sul Play Store.
