חברת אבטחת הסייבר ESET טוענת כי אפליקציית אנדרואיד פופולרית להקלטת מסך שצברה עשרות אלפי הורדות בחנות האפליקציות של גוגל, החלה לאחר מכן לרגל אחרי המשתמשים שלה, כולל על ידי גניבת הקלטות מיקרופון ומסמכים מהטלפון של המשתמש.
מחקר של חברת ESET מצא שאפליקציית אנדרואיד iRecorder – Screen Recorder הציגה את הקוד הזדוני כעדכון אפליקציה כמעט שנה לאחר שהועלה לראשונה ל- Google Play. הקוד, לפי ESET, אפשר לאפליקציה להעלות בחשאי דקה של אודיו סביבתי מהמיקרופון של המכשיר כל 15 דקות, כמו גם להוציא מסמכים, דפי אינטרנט וקבצי מדיה מהטלפון של המשתמש.
האפליקציה כבר לא רשומה ב- Google Play. על משתמשים שהתקינו את האפליקציה להסיר אותה מיידית מהמכשיר. עד שהאפליקציה הזדונית הורדה מחנות האפליקציות היא צברה יותר מ- 50,000 הורדות.
ESET קוראת לקוד הזדוני AhRat – גרסה מותאמת אישית של טרויאני גישה מרחוק בקוד פתוח בשם AhMyth. סוסים טרויאניים בגישה מרחוק (או RATs) מנצלים את היתרונות של גישה רחבה למכשיר של הקורבן ולעתים קרובות יכולים לכלול שלט רחוק, אך גם לתפקד באופן דומה לנוזקות ריגול ו- stalkerware.
Lukas Stefanko – חוקר אבטחה ב- ESET שגילה את הנוזקה, אמר כי אפליקציית iRecorder לא הכילה תכונות זדוניות כשהושקה לראשונה בספטמבר 2021. לאחר שקוד AhRat הזדוני נדחף כעדכון אפליקציה למשתמשים קיימים (ולמשתמשים חדשים שהורידו את האפליקציה ישירות מ- Google Play), החלה האפליקציה לגשת בחשאי למיקרופון של המשתמש ולהעלות את נתוני הטלפון של המשתמש לשרת הנשלט על ידי הנוזקה. סטפאנקו הוסיף כי הקלטת האודיו מתאימה למודל הרשאות האפליקציה שהוגדר כבר, בהתחשב בכך שהאפליקציה תוכננה מטבעה ללכוד את הקלטות המסך של המכשיר ולבקש להעניק גישה למיקרופון של המכשיר. סטפאנקו טוען כי הקוד הזדוני הוא ככל הנראה חלק ממסע ריגול רחב יותר שבו אוספים האקרים מידע על יעדים שבחרו – לפעמים מטעם ממשלות או מסיבות כלכליות. לדבריו, "נדיר שמפתח מעלה אפליקציה לגיטימית, ממתין כמעט שנה ואז מעדכן אותה בקוד זדוני".
אנשי אתר TechCrunch שלחו אימייל לכתובת הדוא"ל של המפתח שהייתה רשומה בפרטי האפליקציה לפני שהורדה, אך טרם קיבלה תשובה.
אין זה נדיר שאפליקציות זדוניות גולשות לחנויות האפליקציות וזו גם לא הפעם הראשונה ש- AhMyth מתגנב ל- Google Play. גם גוגל וגם אפל פועלות לעיתים קרובות באופן יזום כדי להוריד אפליקציות העלולות לסכן את המשתמשים. בשנה שעברה טענה גוגל שמנעה יותר מ- 1.4 מיליון אפליקציות מפרות פרטיות להגיע ל- Google Play.