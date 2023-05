V rámci našeho informování o škodlivých Android aplikacích se objevují nejčastěji zmínky o zákeřných nástrojích, které se v úkrytu mimo Google Play vydávají například za populární hry. Někdy je řeč i o infikovaných aplikacích, které nějakou dobu v oficiálním obchodě pobyly, ale jejich skryté aktivity byly celkem brzy odhaleny. V případě aplikace iRecorder, o které informuje nový report společnosti ESET, je ale příběh hackingu trochu zajímavější.

Řeč je o aplikaci s celým názvem “iRecorder – Screen Recorder” vydavatele Coffeeholic Dev. Příběh tohoto záznamníku obrazovky je zvláštní v tom, že je (byl) na Google Play umístěn 19. září 2021 jako neškodná aplikace a začal “zlobit” až asi po roce. V srpnu roku 2022 se s aktualizací na verzi 1.3.8 objevil malware AhRat, který například zneužíval dříve udělených oprávnění k použití mikrofonu a posílal útočníkům pořízené audio záznamy. Šel rovněž po souborech s předem danými koncovkami.

“Je vzácné, aby vývojář nahrál legitimní aplikaci, počkal téměř rok a pak ji aktualizoval se škodlivým kódem. Škodlivý kód, který byl přidán do čisté verze aplikace iRecorder, vychází z open-source trojského koně AhMyth Android RAT (remote access trojan) a byl upraven do podoby, kterou jsme nazvali AhRat,” popisuje ESET s tím, že nikde jinde se tento konkrétní kód neobjevil. To rovněž ukazuje na ojedinělost tohoto postupu.

Po upozornění antivirové společnosti byla tato aplikace iRecorder vymazána z Google Play až letos v březnu, takže se stihla usadit i v telefonech dalších uživatelů. V době smazání měl dříve užitečný nástroj v oficiální statistice 50 až 100 tisíc stažení. Unikátní přitom byl právě fakt, že ke zmíněnému malwaru se skrze aktualizaci dostali hlavně uživatelé, kteří ji předtím několik měsíců běžně používali bez negativních následků.

“Výzkum AhRat slouží jako dobrý příklad toho, jak se původně legitimní aplikace může i po mnoha měsících změnit ve škodlivou aplikaci, která špehuje své uživatele a ohrožuje jejich soukromí. Je sice možné, že vývojář aplikace měl v úmyslu vybudovat si uživatelskou základnu předtím, než prostřednictvím aktualizace ohrozil jejich zařízení se systémem Android, nebo že tuto změnu v aplikaci zavedl škodlivý aktér; zatím však nemáme důkazy ani pro jednu z těchto hypotéz,” uzavírá ve svém reportu ESET.

