Легальний додаток iRecorder Screen Recorder, який встановило понад 50 тис. користувачів, таємно записував звук на пристроях Android і надсилав його розробнику програми. Про це повідомив дослідник із компанії ESET Лукас Стефанко, пише Ars Technica.

Застосунок з’явився в Google Play у вересні 2021 року як нешкідливий додаток, який дозволяв користувачам записувати екрани своїх пристроїв. За одинадцять місяців додаток було оновлено, і в ньому з’явилася нова функціональність.

Вона включала можливість віддалено вмикати мікрофон пристрою та записувати звук, підключатися до сервера, контрольованого зловмисниками, й завантажувати аудіо та інші конфіденційні файли, які зберігалися на пристрої.

Функції шпигунства реалізували за допомогою коду AhMyth, трояна з відкритим вихідним кодом (RAT). Після того, як RAT був доданий до iRecorder, користувачі застосунку отримали оновлення, які дозволили їхнім телефонам записувати аудіо та надсилати його на вказаний розробником сервер через зашифрований канал. Із часом код, взятий з AhMyth, був сильно модифікований.

Під час випробувань Стефанко встановлював додаток на пристрої, і щоразу застосунок отримував інструкцію записати одну хвилину аудіо та відправити її на командно-контрольний сервер зловмисника. Надалі додаток отримуватиме таку саму інструкцію кожні 15 хвилин до нескінченності.

В ESET не виключають, що iRecord є частиною активної шпигунської кампанії, але поки не можуть визначити, чи це справді так.

«На жаль, у нас немає жодних доказів того, що додаток був спрямований на певну групу людей, і з опису додатку та подальших досліджень (можливий вектор розповсюдження додатку) не зрозуміло, чи була націлена конкретна група людей, чи ні», – написав Стефанко.

Як відомо, шкідливе ПЗ, вбудоване в додатки, доступні на серверах Google, не є чимось новим. Компанія не коментує випадки появи шкідливого програмного забезпечення на своїй платформі, але дякує дослідникам за їхнє виявлення. Google видаляє шкідливе програмне забезпечення, як тільки дізнається про нього.