Clicky

Malware de robo de datos descubierto en la popular aplicación de grabación de pantalla de Android

malware iRecorder

El comportamiento malicioso de la aplicación implica la extracción de grabaciones de micrófonos

Google eliminó de Play Store una aplicación de grabación de pantalla llamada "iRecorder - Screen Recorder" después de que se descubriera que colaba capacidades de robo de información casi un año después de que la aplicación se publicara como una aplicación inocua.

La aplicación (nombre del paquete APK "com.tsoft.app.iscreenrecorder"), que acumuló más de 50.000 instalaciones, se cargó por primera vez el 19 de septiembre de 2021. Se cree que la funcionalidad maliciosa se introdujo en la versión 1.3.8, que se lanzó el 24 de agosto de 2022.

"Es raro que un desarrollador cargue una aplicación legítima, espere casi un año y luego la actualice con un código malicioso", dijo en un informe técnico el investigador de seguridad de ESET Lukáš Štefanko.

"El código malicioso que se agregó a la versión limpia de iRecorder se basa en el código abierto AhMyth Android RAT (troyano de acceso remoto) y se ha personalizado en lo que llamamos AhRat".

El analista de seguridad de Kaspersky Igor Golovin marcó por primera vez que iRecorder albergaba el troyano AhMyth el 28 de octubre de 2022, lo que indica que la aplicación logró permanecer accesible todo este tiempo e incluso recibió una nueva actualización el 26 de febrero de 2023.

malware iRecorder

El comportamiento malicioso de la aplicación implica especialmente la extracción de grabaciones de micrófonos y la recopilación de archivos con extensiones específicas, y ESET describe a AhRat como una versión ligera de AhMyth.

La característica de recopilación de datos apunta a un posible motivo de espionaje, aunque no hay evidencia que vincule la actividad a ningún actor de amenazas conocido. Sin embargo, AhMyth ha sido empleado anteriormente por Transparent Tribe en ataques dirigidos al sur de Asia.

malware iRecorder

iRecorder es obra de un desarrollador llamado Coffeeholic Dev, que también ha lanzado otras aplicaciones a lo largo de los años. Ninguno de ellas es accesible al momento de escribir.

Este desarrollo es solo el último ejemplo de malware que adopta una técnica llamada control de versiones, que se refiere a cargar una versión limpia de la aplicación en Play Store para generar confianza entre los usuarios y luego agregar código malicioso en una etapa posterior a través de actualizaciones de la aplicación, en un intento por pasar por alto el proceso de revisión de la aplicación.

"El caso de investigación de AhRat sirve como un buen ejemplo de cómo una aplicación inicialmente legítima puede transformarse en una maliciosa, incluso después de muchos meses, espiando a sus usuarios y comprometiendo su privacidad", dijo Štefanko.

Jesus_Caceres