Ein Cybersicherheitsunternehmen berichtet, dass eine beliebte Android-App zur Bildschirmaufzeichnung, die Zehntausende Downloads im Google Play Store verzeichnete, anschließend begann, ihre Benutzer auszuspionieren, unter anderem durch den Diebstahl von Mikrofonaufnahmen und anderen Dokumenten vom Telefon eines Benutzers.
Untersuchungen von ESET ergaben, dass die Android-App „iRecorder – Screen Recorder“ den Schadcode als App-Update fast ein Jahr nach ihrer ersten Auflistung bei Google Play einführte. Laut ESET ermöglichte der Code der App, alle 15 Minuten heimlich eine Minute Umgebungsgeräusche vom Mikrofon eines Geräts hochzuladen sowie Dokumente, Webseiten und Mediendateien vom Telefon eines Benutzers auszugeben.
Die App ist nicht mehr bei Google Play gelistet. Wenn Sie die Anwendung installiert haben, müssen Sie sie von Ihrem Gerät löschen. Als die Schad-App aus dem App Store entfernt wurde, hatte sie mehr als 50.000 Downloads verzeichnet.
ESET nennt den Schadcode AhRat, eine angepasste Version eines Open-Source-Fernzugriffstrojaners namens AhMyth. Fernzugriffs-Trojaner (oder RATs) profitieren von einem umfassenden Zugriff auf den Computer des Opfers und können häufig das Fernsteuerungsgerät in Mitleidenschaft ziehen, funktionieren aber auch ähnlich wie Spyware und Stalkerware.
Screenshot eines bei Google Play gelisteten iRecorders, der 2022 im Internet Archive zwischengespeichert wurde. Bildnachweis: TechCrunch (Screenshot)
Lukas Stefanko, der Sicherheitsforscher bei ESET, der die Malware entdeckt hat, sagte in einem Blogbeitrag, dass die iRecorder-App bei ihrem ersten Start im September 2021 keine schädlichen Funktionen aufwies.
Nachdem der bösartige AhRat-Code als App-Update an bestehende Benutzer (und neue Benutzer, die die App direkt von Google Play herunterluden) weitergegeben wurde, begann die App, heimlich auf das Mikrofon des Benutzers zuzugreifen und die Telefondaten des Benutzers auf einen von der Malware kontrollierten Server hochzuladen . Bediener oder Arbeiter. Stefanko sagte, dass die Audioaufzeichnung „in das bereits etablierte App-Berechtigungsmodell passt“, da die App von Natur aus darauf ausgelegt ist, Bildschirmaufzeichnungen des Geräts zu erfassen und Zugriff auf das Mikrofon des Geräts anzufordern.
Es ist nicht klar, wer den Schadcode eingeschleust hat – ob es der Entwickler oder jemand anderes war – und aus welchem Grund. TechCrunch hat eine E-Mail an die E-Mail-Adresse eines Entwicklers gesendet, die bereits vor der Entfernung in der Liste der App aufgeführt war, hat jedoch noch keine Antwort erhalten.
Stefanko sagte, der Schadcode sei wahrscheinlich Teil einer umfassenderen Spionagekampagne, bei der Hacker daran arbeiten, Informationen über Ziele ihrer Wahl zu sammeln – manchmal im Auftrag von Regierungen oder aus finanziellen Gründen. „Es kommt selten vor, dass ein Entwickler eine legitime App lädt, etwa ein Jahr wartet und sie dann mit bösartigem Code aktualisiert“, sagte er.
Es ist nicht ungewöhnlich, dass schlechte Apps in die App Stores gelangen, und es ist auch nicht das erste Mal, dass AhMyth Google Play infiltriert. Sowohl Google- als auch Apple-Apps prüfen auf Malware, bevor sie sie zum Download anbieten, und handeln manchmal proaktiv, um Apps abzurufen, wenn sie Benutzer gefährden. Letztes Jahr gab Google bekannt, dass mehr als 1,4 Millionen datenschutzverletzende Apps den Zugriff auf Google Play blockiert haben.
Ähnliche Beiträge:
Sie können den Datenschutzansprüchen von App-Entwicklern bei Google Play nicht vertrauen
Wingtra-Drohne plant eine neue Zukunft, nachdem sie 22 Millionen Dollar gelandet hat
Der Oberste Gerichtshof hat zugunsten von Twitter und Google entschieden und damit eine Frage nach Abschnitt 230 vorerst vermieden
Schließen Sie Tiki, eine beliebte Kurzvideo-App in Indien