.
Getty Images
Um aplicativo que teve mais de 50.000 downloads do Google Play gravou sub-repticiamente o áudio nas proximidades a cada 15 minutos e o enviou ao desenvolvedor do aplicativo, disse um pesquisador da empresa de segurança ESET.
O aplicativo, intitulado iRecorder Screen Recorder, começou a vida no Google Play em setembro de 2021 como um aplicativo benigno que permitia aos usuários gravar as telas de seus dispositivos Android, disse o pesquisador da ESET Lukas Stefanko em um post publicado na terça-feira. Onze meses depois, o aplicativo legítimo foi atualizado para adicionar uma funcionalidade totalmente nova. Ele incluía a capacidade de ligar remotamente o microfone do dispositivo e gravar som, conectar-se a um servidor controlado por um invasor e carregar o áudio e outros arquivos confidenciais armazenados no dispositivo.
Gravação clandestina a cada 15 minutos
As funções secretas de espionagem foram implementadas usando o código do AhMyth, um RAT (Trojan de acesso remoto) de código aberto que foi incorporado a vários outros aplicativos Android nos últimos anos. Depois que o RAT foi adicionado ao iRecorder, todos os usuários do aplicativo anteriormente benigno receberam atualizações que permitiram que seus telefones gravassem áudio próximo e o enviassem para um servidor designado pelo desenvolvedor por meio de um canal criptografado. Com o passar do tempo, o código retirado do AhMyth foi fortemente modificado, uma indicação de que o desenvolvedor se tornou mais adepto do RAT de código aberto. A ESET nomeou o RAT recém-modificado no iRecorder AhRat.
Stefanko instalou o aplicativo repetidamente em dispositivos em seu laboratório e, a cada vez, o resultado foi o mesmo: o aplicativo recebeu uma instrução para gravar um minuto de áudio e enviá-lo ao servidor de comando e controle do invasor, também conhecido coloquialmente em segurança círculos como C&C ou C2. No futuro, o aplicativo receberia a mesma instrução a cada 15 minutos indefinidamente. Em um e-mail, ele escreveu:
Durante minha análise, o AhRat foi ativamente capaz de exfiltrar dados e gravar o microfone (algumas vezes removi o aplicativo e reinstalei, e o aplicativo sempre se comportou da mesma forma).
A exfiltração de dados é habilitada com base nos comandos em [a] arquivo de configuração retornado de [the] C&C. Durante minha análise, o arquivo de configuração sempre retornou o comando para gravar áudio, o que significa [it] ligou o microfone, capturou o áudio e enviou para o C2.
Aconteceu constantemente no meu caso, pois estava condicionado a comandos recebidos no arquivo de configuração. A configuração foi recebida a cada 15 minutos e a duração do registro foi definida para 1 minuto. Durante a análise, meu dispositivo sempre recebia comandos para gravar e enviar o áudio do microfone para C2. Ocorreu 3-4 vezes, então parei o malware.
O malware associado a aplicativos disponíveis nos servidores do Google não é novidade. O Google não comenta quando um malware é descoberto em sua plataforma, apenas agradece aos pesquisadores externos que o encontraram e diz que a empresa remove o malware assim que fica sabendo dele. A empresa nunca explicou o que faz com que seus próprios pesquisadores e processo de verificação automatizado percam aplicativos maliciosos descobertos por pessoas de fora. O Google também reluta em notificar ativamente os usuários do Play assim que descobre que eles foram infectados por aplicativos promovidos e disponibilizados por seu próprio serviço.
O que é mais incomum nesse caso é a descoberta de um aplicativo malicioso que registra ativamente uma base tão ampla de vítimas e envia seu áudio para os invasores. Stefanko disse que é possível que o iRecord faça parte de uma campanha ativa de espionagem, mas até agora ele não conseguiu determinar se esse é o caso.
“Infelizmente, não temos nenhuma evidência de que o aplicativo foi enviado a um grupo específico de pessoas e, a partir da descrição do aplicativo e de pesquisas adicionais (possível vetor de distribuição do aplicativo), não está claro se um grupo específico de pessoas foi direcionado ou não”, escreveu. “Parece muito incomum, mas não temos evidências para dizer o contrário.”
Os RATs fornecem aos invasores um backdoor secreto nas plataformas infectadas para que possam instalar ou desinstalar aplicativos, roubar contatos, mensagens ou dados do usuário e monitorar dispositivos em tempo real. AhRat não é o primeiro Android RAT a usar o código-fonte aberto do AhMyth. Em 2019, Stefanko relatou ter encontrado um RAT implementado pelo AhMyth na Radio Balouch, um aplicativo de streaming de rádio totalmente funcional para entusiastas da música Balochi, que vem do sudeste do Irã. Esse aplicativo tinha uma base de instalação significativamente menor de apenas mais de 100 usuários do Google Play.
Um grupo de ameaças prolífico que está ativo desde pelo menos 2013 também usou AhMyth para backdoor de aplicativos Android que visavam militares e funcionários do governo na Índia. Não há indicação de que o grupo de ameaças – rastreado por pesquisadores sob os nomes Transparent Tribe, APT36, Mythic Leopard, ProjectM e Operation C-Major – tenha espalhado o aplicativo pelo Google Play, e o vetor de infecção permanece incerto.
.
