Nachdem sie fast ein Jahr lang ordnungsgemäß funktionierte und sauber über den Play Store verteilt wurde, hat eine beliebte Android-Bildschirmaufzeichnungs-App ihre Benutzer angemacht, indem sie ihre Anrufe aufzeichnet, Dateien stiehlt und sogar die Geräusche der Geräteumgebung abhört.
Cybersicherheitsforscher von ESET stellten fest, dass die App mit dem Namen iRecorder – Screen Recorder, die im September 2021 zum Play Store hinzugefügt wurde, im August 2022 schief ging.
Im Jahr vor der offenbaren Hinzufügung des Schadcodes hätten mehr als 50.000 Menschen die App heruntergeladen, heißt es in dem Bericht.
Unbekannte Motive
Die später hinzugefügte Malware basiert auf dem Open-Source-Android-Remote-Access-Trojaner (RAT) AhMyth, wurde jedoch stark modifiziert. Laut ESET hat sich derjenige, der den Code geändert hat, die Zeit genommen, den Code sowohl der App als auch des Backends zu verstehen. Die ESET-Forscher nannten die Malware AhRat.
Die Bedrohungsakteure hinter der Kompromittierung sind unbekannt, ebenso wie ihre Motive. Doch angesichts der Funktionalitäten von AhRat deute alles auf eine Spionagekampagne hin, sagten die Forscher. Schließlich kann die App neben der Bildschirmaufzeichnungsfunktion (die nicht schädlich ist) auch Umgebungsgeräusche aufzeichnen, die vom Mikrofon des Endpunkts aufgenommen werden, und Dateien wie gespeicherte Webseiten, Bilder, Audio-, Video-, Dokumentdateien und mehr herausfiltern.
„Der AhRat-Forschungsfall ist ein gutes Beispiel dafür, wie sich eine zunächst legitime Anwendung auch nach vielen Monaten in eine bösartige Anwendung verwandeln kann, die ihre Benutzer ausspioniert und deren Privatsphäre gefährdet. Es ist zwar möglich, dass der App-Entwickler beabsichtigt hatte, eine Benutzerbasis aufzubauen, bevor er seine Android-Geräte durch ein Update kompromittiert, oder dass ein böswilliger Akteur diese Änderung in die App eingeführt hat; Bisher haben wir für keine dieser Hypothesen Beweise“, sagte ESET-Forscher Lukáš Štefanko.
Mit anderen Worten: Es besteht eine geringe Wahrscheinlichkeit, dass die App von böswilligen Akteuren übernommen und für einen Angriff auf die Lieferkette verwendet wurde.
Die iRecorder-App-Versionen 1.3.8 und älter seien nicht bösartig, hieß es, aber wenn Sie sie in der Zwischenzeit aktualisiert haben, ist die Wahrscheinlichkeit groß, dass Sie kompromittiert wurden. Das Schlimmste daran ist, dass die Opfer der App nicht einmal weitere Berechtigungen erteilen mussten. Die App wurde inzwischen aus dem Play Store entfernt.