Um dos métodos eficazes que um aplicativo Android malicioso pode utilizar para evitar a detecção do Google é se apresentar como um programa legítimo antes de implementar elementos de malware posteriormente. Foi exatamente isso que ocorreu com o iRecorder – Screen Recorder. Esse aplicativo, que foi baixado 50.000 vezes, estava secretamente realizando gravações de áudio através do microfone do dispositivo a cada 15 minutos e enviando-os para um atacante.
O pesquisador da ESET, Lukas Stefanko, descobriu que o iRecorder – Screen Recorder foi trojanizado ao longo do último ano. O aplicativo chegou ao Google Play em setembro de 2021, estando livre de quaisquer elementos maliciosos, mas isso mudou com a atualização para a versão 1.3.8 em agosto de 2022.
O código malicioso adicionado ao aplicativo é baseado no malware de acesso remoto AhMyth Android RAT (remote access trojan), de código aberto, que é capaz de roubar dados dos dispositivos, incluindo contatos, mensagens SMS, registros de chamadas, históricos de navegação, localização do dispositivo e capturas de tela. No entanto, a versão personalizada do desenvolvedor, que a ESET nomeou de AhRat, possuía funcionalidades limitadas.
O aspecto insidioso do AhRat é sua capacidade de gravar áudio ambiente através do microfone do dispositivo a cada 15 minutos e enviá-lo para o servidor de comando e controle (C&C) do atacante.
Apenas seis das 18 capacidades do aplicativo haviam sido implementadas, o que sugere que o AhRat era um trabalho em andamento que poderia ter algumas das funcionalidades adicionais encontradas no AhMyth, como keylogging, rastreamento de localização e captura de tela, adicionadas posteriormente.
Além de ter sido baixado mais de 50.000 vezes, o aplicativo possuía uma avaliação respeitável de 4,2 estrelas no Google Play, provavelmente devido ao fato de ter sido seguro por tanto tempo. Uma pontuação baixa com muitas críticas dos usuários geralmente é um sinal de alerta.
A capacidade de gravar e enviar áudio em intervalos curtos é uma característica incomum. Stefanko sugere que isso possa ser parte de uma campanha de espionagem, especialmente porque o AhMyth de código aberto já foi usado pelo Transparent Tribe, um grupo de espionagem conhecido por visar organizações governamentais e militares no sul da Ásia. No entanto, não há evidências de que o AhRat esteja relacionado a esse grupo, nem fica claro se o aplicativo foi projetado para espionar um grupo específico de pessoas.
A Coffeeholic Dev, desenvolvedora do aplicativo, tinha outros aplicativos na loja que não apresentavam sinais de malware, mas esses elementos poderiam ter sido adicionados em algum momento no futuro, como foi o caso do iRecorder – Screen Recorder. Infelizmente, não teremos como descobrir, pois todos os seus aplicativos foram removidos pelo Google.
Leia também: Se você tiver algum desses 30 aplicativos Android, remova