Getty Images
Une application qui a enregistré plus de 50 000 téléchargements depuis Google Play a subrepticement enregistré de l’audio à proximité toutes les 15 minutes et l’a envoyé au développeur de l’application, a déclaré un chercheur de la société de sécurité ESET.
L’application, intitulée iRecorder Screen Recorder, a commencé sa vie sur Google Play en septembre 2021 en tant qu’application bénigne qui permettait aux utilisateurs d’enregistrer les écrans de leurs appareils Android, a déclaré le chercheur d’ESET Lukas Stefanko dans un article publié mardi. Onze mois plus tard, l’application légitime a été mise à jour pour ajouter de toutes nouvelles fonctionnalités. Il comprenait la possibilité d’allumer à distance le micro de l’appareil et d’enregistrer le son, de se connecter à un serveur contrôlé par l’attaquant et de télécharger l’audio et d’autres fichiers sensibles qui étaient stockés sur l’appareil.
Enregistrement subreptice toutes les 15 minutes
Les fonctions d’espionnage secrètes ont été implémentées à l’aide du code d’AhMyth, un RAT open source (cheval de Troie d’accès à distance) qui a été intégré à plusieurs autres applications Android ces dernières années. Une fois le RAT ajouté à iRecorder, tous les utilisateurs de l’application auparavant bénigne ont reçu des mises à jour qui permettaient à leurs téléphones d’enregistrer de l’audio à proximité et de l’envoyer à un serveur désigné par le développeur via un canal crypté. Au fil du temps, le code extrait d’AhMyth a été fortement modifié, ce qui indique que le développeur est devenu plus habile avec le RAT open source. ESET a nommé le RAT nouvellement modifié dans iRecorder AhRat.
Stefanko a installé l’application à plusieurs reprises sur les appareils de son laboratoire, et à chaque fois, le résultat était le même : l’application a reçu l’instruction d’enregistrer une minute d’audio et de l’envoyer au serveur de commande et de contrôle de l’attaquant, également connu familièrement dans le domaine de la sécurité. cercles comme C&C ou C2. À l’avenir, l’application recevrait la même instruction toutes les 15 minutes indéfiniment. Dans un courriel, il écrit :
Au cours de mon analyse, AhRat était activement capable d’exfiltrer des données et d’enregistrer un microphone (quelques fois, j’ai supprimé l’application et réinstallé, et l’application s’est toujours comportée de la même manière).
L’exfiltration de données est activée en fonction des commandes de [a] fichier de configuration renvoyé par [the] C&C. Lors de mon analyse, le fichier de configuration renvoyait toujours la commande d’enregistrement audio, ce qui signifie [it] allumé le micro, capturé l’audio et envoyé au C2.
Cela arrivait constamment dans mon cas, car c’était conditionnel aux commandes reçues dans le fichier de configuration. La configuration était reçue toutes les 15 minutes et la durée d’enregistrement était définie sur 1 minute. Pendant l’analyse, mon appareil a toujours reçu des commandes pour enregistrer et envoyer l’audio du micro à C2. Cela s’est produit 3-4 fois, puis j’ai arrêté le logiciel malveillant.
Les logiciels malveillants intégrés aux applications disponibles sur les serveurs Google ne sont pas nouveaux. Google ne fait aucun commentaire lorsque des logiciels malveillants sont découverts sur sa plate-forme, au-delà de remercier les chercheurs externes qui les ont trouvés et de dire que l’entreprise supprime les logiciels malveillants dès qu’elle en a connaissance. La société n’a jamais expliqué ce qui fait que ses propres chercheurs et son processus d’analyse automatisé manquent des applications malveillantes découvertes par des étrangers. Google a également hésité à informer activement les utilisateurs de Play une fois qu’il apprend qu’ils ont été infectés par des applications promues et mises à disposition par son propre service.
Ce qui est plus inhabituel dans ce cas, c’est la découverte d’une application malveillante qui enregistre activement une base aussi large de victimes et envoie leur audio aux attaquants. Stefanko a déclaré qu’il était possible qu’iRecord fasse partie d’une campagne d’espionnage active, mais jusqu’à présent, il n’a pas été en mesure de déterminer si c’est le cas.
« Malheureusement, nous n’avons aucune preuve que l’application a été poussée vers un groupe particulier de personnes, et d’après la description de l’application et des recherches supplémentaires (vecteur de distribution d’application possible), il n’est pas clair si un groupe spécifique de personnes a été ciblé. ou pas », a-t-il écrit. « Cela semble très inhabituel, mais nous n’avons aucune preuve pour dire le contraire. »
Les RAT offrent aux attaquants une porte dérobée secrète sur les plates-formes infectées afin qu’ils puissent installer ou désinstaller des applications, voler des contacts, des messages ou des données utilisateur et surveiller les appareils en temps réel. AhRat n’est pas le premier RAT Android de ce type à utiliser le code open source d’AhMyth. En 2019, Stefanko a rapporté avoir trouvé un RAT mis en œuvre par AhMyth dans Radio Balouch, une application de radio en streaming entièrement fonctionnelle pour les passionnés de musique baloutche, originaire du sud-est de l’Iran. Cette application avait une base d’installation beaucoup plus petite de seulement plus de 100 utilisateurs de Google Play.
Un groupe de menaces prolifique actif depuis au moins 2013 a également utilisé AhMyth pour détourner des applications Android qui ciblaient le personnel militaire et gouvernemental en Inde. Rien n’indique que le groupe de menaces, suivi par des chercheurs sous les noms de Transparent Tribe, APT36, Mythic Leopard, ProjectM et Operation C-Major, ait jamais diffusé l’application via Google Play, et le vecteur d’infection reste flou.