¡Ojo con iRecorder en Google Play! App para grabar la pantalla se vuelve maliciosa mediante una actualización

Captura De Pantalla 2023 05 24 A La S 7 16 56
Sin comentarios Facebook Twitter Flipboard E-mail

El equipo de investigación de ESET, compañía especializada en detección proactiva de amenazas, descubrió una aplicación troyanizada para Android que había estado disponible en la tienda Google Play y contaba con más de 50,000 instalaciones. Lo que llama la atención es que se trata de una app inofensiva que se volvió maliciosa más de un año después de lanzada.

La aplicación, llamada iRecorder – Screen Recorder, se cargó inicialmente en la tienda sin funcionalidad maliciosa el 19 de septiembre de 2021. Sin embargo, la funcionalidad maliciosa se implementó más tarde, probablemente en la versión 1.3.8, que estuvo disponible en agosto de 2022.

Sin embargo, los usuarios de Android que habían instalado una versión anterior de iRecorder (anterior a la versión 1.3.8), que carecía de funciones maliciosas, sin saberlo, podrían haber expuesto sus dispositivos a AhRat si posteriormente actualizaron la aplicación de forma manual o automática, incluso sin otorgar cualquier otra aprobación de permiso de la aplicación.

El comportamiento malicioso específico de la aplicación involucra la extracción de grabaciones del micrófono y el robo de archivos con extensiones específicas, lo que indica su potencial participación en una campaña de espionaje.

“Es raro que un desarrollador cargue una aplicación legítima, espere casi un año y luego la actualice con un código malicioso. Sin embargo, no es la primera vez que detectamos malware para Android basado en AhMyth en Google Play, ya que en 2019 publicamos una investigación sobre una aplicación troyanizada basada en el código de AhMyth. Se trataba de un spyware que logró eludir dos veces el proceso de verificación de Google enmascarándose como una app de streaming de radio”. -- Camilo Gutierrez Amaya, Jefe Laboratorio de Investigación de ESET LATAM.

¿Qué hace iRecorder?

Captura De Pantalla 2023 05 24 A La S 7 17 59

Además de proporcionar una funcionalidad de grabación de pantalla legítima,  los investigadores de ESET hallaron que iRecorder puede, en virtud de los permisos que ide al momento de su instalación, grabar el audio circundante desde el micrófono del dispositivo y cargarlo en el servidor de comando y control (C&C) del atacante.

También puede exfiltrar desde el dispositivo archivos con extensiones que representan páginas web guardadas, imágenes, archivos de audio, video y documentos, y formatos de archivo utilizados para comprimir varios archivos.

Las medidas preventivas contra este tipo de acciones maliciosas ya se han implementado en Android 11 y versiones superiores mediante la hibernación de aplicaciones. Esta característica coloca las aplicaciones que han estado inactivas durante varios meses en un estado de hibernación, reestableciendo sus permisos de ejecución y evitando que las aplicaciones maliciosas funcionen según lo previsto.

La aplicación maliciosa con más de 50.000 descargas se eliminó de Google Play después del reporte de ESET y desde entonces no se ha detectado actividad de AhRat en ningún otro lugar.

Comentarios cerrados
Inicio