Non è la prima volta che sulle nostre pagine vi mettiamo in guardia da applicazioni, presenti sul Play Store, infettate da malware, trojan e virus di ogni genere, la storia di oggi però è leggermente diversa: portata alla luce dal ricercatore ESET esperto di sicurezza Lukas Stefanko, si differenzia dalle solite che vi riportiamo per un particolare, l’applicazione in questione era inizialmente legittima e completamente in regola, ma il suo sviluppatore ha introdotto del codice malevolo tramite un successivo aggiornamento.
Le applicazioni scaricate dal Play Store possono diventare dannose anche diverso tempo dopo la loro pubblicazione
L’applicazione in questione, chiamata iRecorder Screen Recorder, è stata pubblicata per la prima volta sul Play Store nel settembre 2021, essa si proponeva di aiutare gli utenti nella registrazione dello schermo del proprio dispositivo; 11 mesi dopo la sua iniziale pubblicazione però, l’app ha ricevuto un aggiornamento attraverso il quale lo sviluppatore ha attivato tutta una serie di nuove funzionalità tra cui la possibilità di accendere da remoto il microfono del dispositivo e registrare l’audio, connettersi a un server controllato da un utente malintenzionato e caricare l’audio e altri file sensibili archiviati sul dispositivo.
Tutto ciò è stato reso possibile dall’implementazione, tramite il sopra citato aggiornamento, del codice di AhMyth, un RAT open source (in sostanza un trojan ad accesso remoto) già individuato da vari ricercatori attivi nel campo della sicurezza in svariate applicazioni nel corso degli ultimi anni. L’aggiornamento ha fatto sì che gli smartphone degli utenti registrassero l’audio catturato dai dispositivi, ovviamente all’insaputa del proprietario, per poi inviare le registrazioni a un server designato dallo sviluppatore attraverso un canale crittografato.
Il ricercatore ha testato l’applicazione su diversi dispositivi, raggiungendo le seguenti conclusioni:
Durante la mia analisi, AhRat è stato attivamente in grado di esfiltrare dati e registrare il microfono (un paio di volte ho rimosso l’app e reinstallato, e l’app si è sempre comportata allo stesso modo).
L’esfiltrazione dei dati è abilitata in base ai comandi in [un] file di configurazione restituito da [il] C&C. Durante la mia analisi, il file di configurazione ha sempre restituito il comando per registrare l’audio, il che significa che [esso] ha acceso il microfono, ha catturato l’audio e lo ha inviato al C2.
È successo costantemente nel mio caso, poiché era condizionato ai comandi ricevuti nel file di configurazione. La configurazione è stata ricevuta ogni 15 minuti e la durata della registrazione è stata impostata su 1 minuto. Durante l’analisi, il mio dispositivo ha sempre ricevuto i comandi per registrare e inviare l’audio del microfono a C2. Si è verificato 3-4 volte, quindi ho bloccato il malware.
Da quanto emerso dunque, gli smartphone infettati con il trojan in questione, ricevevano dei comandi grazie ai quali, ogni 15 minuti, provvedevano ad effettuare una registrazione audio della durata di 1 minuto, per poi inviarla al server dello sviluppatore.
Come detto poco sopra, non si tratta di qualcosa di nuovo, questi RAT offrono agli aggressori una backdoor segreta sulle piattaforme infette in modo che possano continuare a installare o disinstallare app, rubare contatti, messaggi o dati utente e monitorare i dispositivi in tempo reale. Ciò che non è chiaro è se l’applicazione sia stata utilizzata per fini di spionaggio, il software vantava prima della rimozione dal Play Store oltre 50.000 download, non è dunque da escludere che sia stata utilizzata per prendere di mira un particolare tipo di utenti, anche se al momento non ci sono prove su questo, come del resto dichiarato dallo stesso Stefanko:
Sfortunatamente, non abbiamo alcuna prova che l’app sia stata inviata a un particolare gruppo di persone, e dalla descrizione dell’app e da ulteriori ricerche (possibile vettore di distribuzione dell’app), non è chiaro se sia stato preso di mira un gruppo specifico di persone o no. Sembra molto insolito, ma non abbiamo prove per dire il contrario.
Il trojan implementato nell’applicazione tramite l’aggiornamento di agosto 2022, sebbene in questo caso si sia limitato alle registrazioni audio, ha in realtà diverse potenzialità differenti, AhMyth RAT può infatti provvedere all’esfiltrazione di registri delle chiamate, contatti e messaggi di testo, ottenere un elenco di file sul dispositivo, tracciare la posizione del dispositivo, inviare messaggi SMS, registrare audio e scattare foto.
Lo sviluppatore dell’app incriminata, Coffeeholic Dev, aveva pubblicato una serie di altri software sul Play Store, tutti risultati legittimi e privi di trojan; ad ogni modo Google ha già provveduto a rimuovere non solo iRecorder ma anche tutte le altre app pubblicate dallo sviluppatore in questione dal proprio store, onde evitare che lo scopo dell’individuo fosse quello di crearsi una base di utenti più ampia prima di perseguire i propri scopi illeciti.
Potrebbe interessarti anche: Milioni di smartphone sono stati infettati da malware già in fabbrica