.
O Google Play foi pego com suas calças de segurança cibernética mais uma vez, depois que um aplicativo de gravador de tela e áudio do Android, antes legítimo, foi atualizado para incluir código malicioso.
Potencialmente, dezenas de milhares de pessoas baixaram o software antes que os pesquisadores da ESET encontrassem o malware oculto e alertassem o Google, que retirou o aplicativo de sua loja online.
O aplicativo em questão, iRecorder – Screen Recorder, foi publicado pela primeira vez em 2021. Ele passou quase um ano no Google Play sem um indício de comportamento nefasto antes de uma atualização de agosto de 2022, nos disseram, adicionou um segredo backdoor de controle remoto.
O código do backdoor foi baseado no AhMyth, um pedaço de Hospedado no GitHub Spyware “não para uso malicioso” encontrado em aplicativos da Play Store antes.
A implementação do AhMyth no aplicativo Android atualizado foi apelidada de AhRat pela ESET. Somos informados de que o software gravou trechos de áudio do microfone de um dispositivo infectado. O AhRat também pode ser instruído a exfiltrar arquivos “com extensões que representam páginas da web, imagens, áudio, vídeo e arquivos de documentos e formatos de arquivo usados para compactar vários arquivos”, disse Lukas Stefanko, da ESET, autor de um relatório de 2019 de duas instâncias anteriores de AhMyth encontradas na Play Store.
O AhRat carece de muitos dos recursos de seu malware pai, o que, segundo Stefanko, indica que pode ser uma variante leve projetada para se esconder melhor dentro de um aplicativo legítimo. “Essas funcionalidades pareciam se encaixar no modelo de permissões do aplicativo já definido, que concede acesso a arquivos no dispositivo e permite a gravação de áudio”, explicou Stefanko.
“Após a instalação do aplicativo malicioso, ele se comportou como um aplicativo padrão sem nenhum pedido de permissão extra especial que pudesse revelar suas intenções maliciosas”, acrescentou Stefanko.
A ESET disse que não detectou AhMyth em nenhum outro lugar, e que o aplicativo e todos os outros itens feitos por seu misterioso desenvolvedor foram removidos da Google Play Store uma vez relatados. Não está claro exatamente por quanto tempo a versão maliciosa do aplicativo de gravação ficou disponível no Google Play nem quantas pessoas exatamente foram atingidas por ela; A ESET disse apenas que o software ultrapassou 50.000 downloads no souk do Google.
Stefanko observou no relatório que o aplicativo de gravação permanece disponível em alguns mercados de aplicativos Android alternativos e não oficiais, e que o desenvolvedor publicou várias outras ferramentas Android, nenhuma das quais contém código malicioso.
“É possível que o desenvolvedor do aplicativo tenha pretendido criar uma base de usuários antes de comprometer seus dispositivos Android por meio de uma atualização ou que um ator mal-intencionado tenha introduzido essa alteração no aplicativo; até o momento, não temos evidências para nenhuma dessas hipóteses”, observou Stefanko.
Mais como Google Play Infect
Temos sido abaixo esse carregado de malware estrada com Google Jogar muitas vezes antes, mas esta é particularmente flagrante, dado o fato de que o malware que escapou das rachaduras (ou seu código pai, pelo menos) já foi encontrado no Google Play. Por extensão, alguém poderia pensar que os indicadores AhMyth seriam incluídos nos sistemas de varredura do Google.
A imagem no dispositivo não é muito melhor para a segurança do Google.
Em 2017, a plataforma antimalware no dispositivo Play Protect do Google obteve último morto em testes de sua capacidade de detectar malware em comparação com plataformas de detecção de malware Android de terceiros. Já faz um tempo desde então, e o Play Protect subiu alguns pontos em versões mais recentes do relatório que o colocou lá. Ainda não está nem perto do topo do pacote, portanto, certifique-se de que seu dispositivo Android tenha várias camadas de proteção. Ou talvez apenas evite aplicativos de desenvolvedores desconhecidos.
Entramos em contato com o Google para perguntar como ele conseguiu perder a atualização maliciosa por quase um ano e ainda não recebemos uma resposta. ®
.
