Все о Цифровых системах - новости, статьи, обзоры, аналитика. Более 1000 компаний, товаров и услуг в каталоге.
Добавить компанию
ГлавнаяКомпанииБрендыКаталогСобытияКонтакты
En
Главная » Новости » Популярное приложение для Android начало шпионить за своими пользователями

Популярное приложение для Android начало шпионить за своими пользователями

Рубрика: «Кибербезопасность»
31.05.2023

Популярное приложение для записи экрана Android, которое набрало десятки тысяч загрузок в магазине приложений Google, начало шпионить за своими пользователями, в том числе путем кражи записей с микрофона, а также других документов с телефона.

Популярное приложение для Android начало шпионить за своими пользователями

Исследование компании ESET показало, что приложение для Android «iRecorder — Screen Recorder» внедрило вредоносный код в свое обновление почти через год после того, как приложение впервые появилось в Google Play. Код позволял приложению каждые 15 минут незаметно загружать минутный фоновый звук с микрофона устройства, а также извлекать документы, веб-страницы и мультимедийные файлы с телефона пользователя. Сейчас этого приложения больше нет в списке загрузок в Google Play, однако, к тому времени, когда оно было удалено из магазина, насчитывалось уже более 50 тысяч загрузок.

ESET сообщает, что приложение заражено вредоносным кодом AhRat, представляющим собой модифицированную версию трояна удаленного доступа с открытым исходным кодом под названием AhMyth. Трояны удаленного доступа пользуются преимуществами широких полномочий на устройстве жертвы и часто могут включать в себя удаленное управление. Также они действуют аналогично программам-шпионам и программам-преследователям.

Лукас Стефанко, исследователь безопасности в ESET, обнаруживший вредоносное ПО, сообщил в своем блоге: «При первом запуске в сентябре 2021 года приложение iRecorder не содержало вредоносных функций».

Как только вредоносный код AhRat был отправлен в качестве обновления существующим пользователям (и новым пользователям, которые загружали приложение непосредственно из Google Play), приложение начало незаметно получать доступ к микрофону и загружать данные телефона пользователя на сервер, контролируемый оператором вредоносного ПО.

«Аудиозапись вписывается в уже определенную модель разрешений приложения, учитывая, что приложение по своей природе предназначено для захвата записей с экрана и будет запрашивать доступ к микрофону устройства». – сказал Стефанко.

Пока непонятно, кто и по какой причине внедрил вредоносный код. Сделал ли это сам разработчик или кто-то еще?

«Вредоносный код, вероятно, является частью более широкой шпионской кампании, в ходе которой хакеры работают над сбором информации о выбранных ими целях — иногда от имени правительств, иногда по финансовым мотивам. Редко, когда разработчик загружает законное приложение, ждет почти год, а затем обновляет его вредоносным кодом», - сказал Стефанко.

Это не редкость, когда плохие программы попадают в магазины приложений, и это не первый случай, когда AhMyth проникает в Google Play. Как Google, так и Apple проверяют приложения на наличие вредоносных программ, прежде чем размещать для загрузки их в свои магазины. Иногда компании принимают превентивные меры для удаления приложений, которые могут подвергать пользователей риску. В прошлом году Google заявила, что предотвратила доступ в Google Play более 1,4 миллиона приложений, нарушающих конфиденциальность пользователей.

Источник: