Un’applicazione Android, originariamente concepita per la registrazione dello schermo, è stata scoperta nel compiere segretamente la cattura e la trasmissione non autorizzata dell’audio che è poi stato trasmesso verso destinazioni discutibili. Secondo il ricercatore di Essential Security against Evolving Threats (ESET) Lukas Stefanko, l’app è disponibile sul Google Play Store dal 19 settembre 2021. Circa 50.000 download dopo, il programma è diventato maligno. Dopo un aggiornamento nell’agosto 2022, l’app per Android, denominata iRecorder – Screen Recorder, ha iniziato a registrare un minuto di audio ogni 15 minuti. Queste clip venivano poi inoltrate al server dello sviluppatore attraverso un link criptato.
“È estremamente raro che uno sviluppatore rilasci un’applicazione Android legittima, attenda per un lungo periodo di tempo e poi introduca codice dannoso attraverso un aggiornamento. Il codice nocivo aggiunto alla versione pulita di iRecorder si basa sul “RAT (trojan di accesso remoto) open-source AhMyth Android” ed è stato personalizzato in una versione chiamata AhRat“, commenta Stefanko.
Oltre alle capacità di registrazione dello schermo, l’app di registrazione Android possiede la capacità di catturare l’audio circostante attraverso il microfono del dispositivo e di trasmetterlo al server di comando e controllo (C&C) del malintenzionato. Inoltre, può estrarre dal dispositivo preso di mira file con estensioni relative a pagine web salvate, immagini, audio, video, documenti e formati di file compressi. Le azioni dannose specifiche dell’applicazione Android indicano fortemente il suo coinvolgimento in una campagna di spionaggio. Tuttavia, ESET non è riuscita a identificare un gruppo particolare associato al programma. Fortunatamente, iRecorder è stato ritirato da Google Play e i ricercatori non hanno trovato tracce del malware AhRat in nessun altro luogo. Tuttavia, questo non è il primo caso di malware Android, presente su Google Apps, basato su AhMyth (Android Remote dAministation Tool), un potente strumento di amministrazione remota open-source che può essere utilizzato per accedere ai dati informativi da un dispositivo Android.
Un déjà vu digitale: l’app che cattura l’audio e lo trasmette, un caso che si ripete dopo 4 anni
WeLiveSecurity aveva già pubblicato una ricerca su un’app troianizzata nel 2019. All’epoca, lo spyware era sfuggito due volte al processo di verifica delle app di Google camuffandosi da un’innocua offerta di streaming radiofonico. La presenza di app truffa non è un fenomeno nuovo negli App Store di Android o Apple. Tra queste, le app di registrazione si sono guadagnate una reputazione tristemente nota, spesso esibendo modelli di prezzo in abbonamento predatori e impiegando recensioni false per aumentare la propria visibilità. Le app che gradualmente diventano dannose sono molto problematiche in quanto sfruttano le autorizzazioni concesse per accedere a informazioni sensibili sui dispositivi. Sebbene l’applicazione iRecorder per Android non sia più un problema, la questione di fondo rimane. Cosa impedisce a un altro agente inattivo (dormiente) di trasformare il dispositivo in uno strumento di spionaggio? Fortunatamente, Google si sta adoperando per risolvere questo problema sviluppando aggiornamenti che forniscono notifiche mensili, informando gli utenti di eventuali modifiche alle pratiche di condivisione dei dati da parte delle app. Incorporare queste pratiche nella routine digitale può ridurre significativamente il rischio di cadere vittima di spyware per app Android e di altre minacce dannose.