محققان بدافزاری ESET یک تروجان دسترسی از راه دور در گوگل پلی یافته اند که در یک نرم افزار ضبط صفحه نمایش اندرویدی مخفی شده است. این نرم افزار هزاران بار نیز نصب شده است!
این نرم افزار با نام iRecorder-Screen Recorder اولین بار سال 2021 در گوگل پلی ثبت شده و در اگوست 2022 با یک به روز رسانی این بدافزار مخرب در آن قرار گرفته است.
با توجه به نام این برنامه، گرفتن اجازه دسترسی به ضبط صدا و فایلها در دستگاههای آلوده کار ساده ای خواهد بود و با توجه به ماهیت برنامه چنین دسترسی هایی درخواست غیرمعقولی نخواهد بود.
قبل از حذف، این برنامه بیش از 50.000 بار از گوگل پلی دانلود شده و کاربران به این بدافزار آلوده شده اند. طبق گفته محققین ESET پس از انجام بررسی ها روی رفتار این بدافزار، تیم امنیتی گوگل پلی آن را از گوگل پلی حذف کرد.
اما باید در نظر داشت که این برنامه می تواند در سایر مارکتهای اندرویدی وجود داشته باشد. توسعه دهندگان این نرم افزار، اپلیکیشن های دیگری نیز روی گوگل پلی داشته اند که آنها حاوی کد مخربی نبوده اند.
این بدافزار توسط AhRat، ESET نامگذاری شده است زیرا مبتنی بر RAT اندرویدی شناخته شده AhMyth است.
بدافزار مذکور ظرفیت های زیادی داشته و تنها شامل دنبال کردن مکان دستگاه آلوده نیست و لاگ های تماس و پیامهای متنی را نیز به سرقت برده و عکس گرفته و صدای زمینه را ضبط می کند.
پس از بررسی دقیقتر، ESET به این نتیجه رسید که این برنامه تنها از بخشی از قابلیتهای RAT استفاده می کند که هدف آن تنها استخراج صداهای ضبط شده محیط و سرقت فایلهایی با پسوند خاص است و احتمالا به قصد فعالیت های جاسوسی انجام می شود.
نرم افزار مذکور، اولین بدافزار اندرویدی مبتنی بر AhMyth روی گوگل پلی نیست. ESET در سال 2019 نیز جزییاتی از نرم بدافزار دیگری که روی گوگل پلی بوده که توسط گروه APT36 به منظور استفاده برای تکنیک های مهندسی اجتماعی و هدف قرار دادن سازمانهایی در جنوب آسیا، به کار گرفته شده بود، منتشر نموده است. سپس آن بدافزار هم پس از بررسی های صورت گرفته و وقتی مشخص شد که با سیاست های گوگل پلی مطابقت ندارد، حذف شد.
منبع:
https://www.bleepingcomputer.com/
https://www.welivesecurity.com/