Une entreprise de cybersécurité affirme qu’une application d’enregistrement d’écran Android populaire qui a accumulé des dizaines de milliers de téléchargements sur l’App Store de Google a ensuite commencé à espionner ses utilisateurs, notamment en volant des enregistrements de microphone et d’autres documents sur le téléphone de l’utilisateur.
Les recherches d’ESET ont révélé que l’application Android, « iRecorder – Screen Recorder », a introduit le code malveillant sous forme de mise à jour de l’application près d’un an après sa première inscription sur Google Play. Le code, selon ESET, permettait à l’application de télécharger furtivement une minute d’audio ambiant depuis le microphone de l’appareil toutes les 15 minutes, ainsi que d’exfiltrer des documents, des pages Web et des fichiers multimédias depuis le téléphone de l’utilisateur.
L’application n’est plus répertoriée dans Google Play. Si vous avez installé l’application, vous devez la supprimer de votre appareil. Au moment où l’application malveillante a été retirée de l’App Store, elle avait accumulé plus de 50 000 téléchargements.
ESET appelle le code malveillant AhRat, une version personnalisée d’un cheval de Troie d’accès à distance open source appelé AhMyth. Les chevaux de Troie d’accès à distance (ou RAT) profitent d’un large accès à l’appareil d’une victime et peuvent souvent inclure un contrôle à distance, mais fonctionnent également de la même manière que les logiciels espions et les logiciels de harcèlement.
Une capture d’écran d’iRecorder répertoriée dans Google Play telle qu’elle a été mise en cache dans Internet Archive en 2022. Crédits image : TechCrunch (capture d’écran)
Lukas Stefanko, chercheur en sécurité chez ESET qui a découvert le logiciel malveillant, a déclaré dans un article de blog que l’application iRecorder ne contenait aucune fonctionnalité malveillante lors de son lancement en septembre 2021.
Une fois que le code AhRat malveillant a été envoyé en tant que mise à jour de l’application aux utilisateurs existants (et aux nouveaux utilisateurs qui téléchargent l’application directement depuis Google Play), l’application a commencé à accéder furtivement au microphone de l’utilisateur et à télécharger les données du téléphone de l’utilisateur sur un serveur contrôlé par le logiciel malveillant. opérateur. Stefanko a déclaré que l’enregistrement audio « s’inscrivait dans le modèle d’autorisations d’application déjà défini », étant donné que l’application était par nature conçue pour capturer les enregistrements d’écran de l’appareil et demanderait à avoir accès au microphone de l’appareil.
On ne sait pas qui a planté le code malveillant – que ce soit le développeur ou quelqu’un d’autre – ou pour quelle raison. TechCrunch a envoyé un e-mail à l’adresse e-mail du développeur qui figurait sur la liste de l’application avant son retrait, mais n’a pas encore reçu de réponse.
Stefanko a déclaré que le code malveillant faisait probablement partie d’une campagne d’espionnage plus large – où les pirates informatiques travaillent pour collecter des informations sur les cibles de leur choix – parfois au nom des gouvernements ou pour des raisons financières. Il a déclaré qu’il était « rare pour un développeur de télécharger une application légitime, d’attendre près d’un an, puis de la mettre à jour avec un code malveillant ».
Il n’est pas rare que de mauvaises applications se glissent dans les magasins d’applications, et ce n’est pas non plus la première fois qu’AhMyth se glisse dans Google Play. Google et Apple filtrent les applications à la recherche de logiciels malveillants avant de les répertorier pour téléchargement, et agissent parfois de manière proactive pour extraire des applications lorsqu’elles pourraient mettre les utilisateurs en danger. L’année dernière, Google a déclaré avoir empêché plus de 1,4 million d’applications portant atteinte à la vie privée d’atteindre Google Play.