Pesquisadores da ESET identificaram um novo trojan de acesso remoto (RAT) que estava disponível na Google Play Store. O aplicativo iRecorder – Screen Recorder foi lançado em 19 de setembro de 2021 e teve mais de 50 mil instalações.
Os comportamentos maliciosos do app incluem a capacidade de extrair gravações de microfones — incluindo ligações telefônicas —, coletar arquivos do dispositivo e carregar as informações para o servidor de comando e controle do invasor.
De acordo com Lucas Stefanko, pesquisador de malware da ESET, em seu lançamento, o aplicativo não apresentava risco aos usuários. Acredita-se que a função maliciosa foi implantada na versão 1.3.8, disponibilizada em agosto de 2022.
É raro um desenvolvedor carregar um aplicativo legítimo, esperar quase um ano e depois atualizá-lo com código malicioso.
Lucas Stefanko, pesquisador de malware da ESET.
O código malicioso usado no iRecorder é baseado no AhMyth Android RAT, um trojan de acesso remoto, e foi otimizado para uma nova versão nomeada de AhRat.
A atuação desse malware indica que ele é parte de uma campanha de espionagem. Os pesquisadores não conseguiram atribuir o aplicativo a nenhum grupo de ameaças específico.
Anteriormente, o AhMyth de código aberto era empregado pelo Transparent Tribe, também conhecido como APT36, um grupo de ciberespionagem conhecido por seu uso extensivo de técnicas de engenharia social que visava organizações governamentais e militares no sul da Ásia.
No entanto, não podemos atribuir as amostras atuais a nenhum grupo específico e não há indicações de que tenham sido produzidas por um grupo conhecido de ameaça persistente avançada (APT).
Lucas Stefanko, pesquisador de malware da ESET.
O iRecorder foi desenvolvido pelo Coffeeholic Dev, que no momento não tem mais nenhum aplicativo disponível na Google Play.
Com informações de Bleeping Computer e Hacker News.
Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!
Fonte: Olhar Digital
Comentários