یک برنامه محبوب اندروید ماه ها پس از ثبت نام در گوگل پلی شروع به جاسوسی مخفیانه از کاربران خود کرد

به گفته یک شرکت امنیت سایبری، یک برنامه محبوب ضبط صفحه نمایش اندروید که ده ها هزار بار از اپ استور گوگل دریافت کرده بود، متعاقباً شروع به جاسوسی از کاربران خود کرد، از جمله با سرقت ضبط های میکروفون و سایر اسناد از تلفن کاربر.

تحقیقات ESET نشان داد که برنامه اندروید iRecorder – Screen Recorder تقریباً یک سال پس از اولین بار در Google Play، کد مخرب را به عنوان یک به‌روزرسانی برنامه معرفی کرد. به گفته ESET، این کد برنامه را قادر می‌سازد تا هر 15 دقیقه یک‌دقیقه نویز محیط را مخفیانه از میکروفون دستگاه آپلود کند و همچنین اسناد، صفحات وب و فایل‌های رسانه‌ای را از گوشی کاربر استخراج کند.

برنامه است دیگر فهرست نشده است در گوگل پلی اگر برنامه را نصب کرده اید، باید آن را از دستگاه خود حذف کنید. زمانی که برنامه مخرب از اپ استور حذف شد، بیش از 50000 بار دانلود شد.

ESET کد مخرب را AhRat می نامد، یک نسخه سفارشی شده از یک تروجان منبع باز دسترسی از راه دور به نام AhMyth. تروجان‌های دسترسی از راه دور (RAT) از دسترسی گسترده به دستگاه قربانی استفاده می‌کنند و اغلب می‌توانند شامل کنترل از راه دور باشند، اما آنها نیز مانند نرم‌افزارهای جاسوسی و استالکرور عمل می‌کنند.

لوکاس استفانکو، محقق امنیتی در ESET که این بدافزار را کشف کرد، در یک پست وبلاگ گفت برنامه iRecorder در ابتدای راه‌اندازی آن در سپتامبر 2021 فاقد هرگونه عملکرد مخربی بود.

پس از اینکه کد مخرب AhRat در بین کاربران فعلی (و کاربران جدیدی که برنامه را مستقیماً از Google Play دانلود کردند) به عنوان یک به‌روزرسانی برنامه توزیع شد، برنامه به طور مخفیانه به میکروفون کاربر دسترسی پیدا کرد و داده‌های تلفن کاربر را به یکی از آپلود سرور تحت کنترل بدافزار رها کرد. اپراتور. استفانکو گفت که صدای ضبط شده “در مدل مجوزهای برنامه از قبل تعریف شده قرار می گیرد” زیرا برنامه ذاتاً برای ضبط تصاویر ضبط شده از صفحه دستگاه طراحی شده است و از شما درخواست می کند که به میکروفون دستگاه دسترسی پیدا کند.

مشخص نیست چه کسی کد مخرب را – چه سازنده یا شخص دیگری – و به چه دلیل تزریق کرده است. TechCrunch ایمیلی به آدرس ایمیل توسعه‌دهنده ارسال کرد که قبل از حذف در فهرست برنامه بود، اما هنوز پاسخی دریافت نکرده است.

استفانکو گفت که کد مخرب احتمالاً بخشی از یک کمپین جاسوسی گسترده‌تر است که در آن هکرها برای جمع‌آوری اطلاعات در مورد اهداف مورد نظر خود – گاهی از طرف دولت‌ها یا به دلایل مالی – کار می‌کنند. او گفت: «به ندرت پیش می‌آید که یک توسعه‌دهنده یک برنامه قانونی را آپلود کند، تقریباً یک سال صبر کند و سپس آن را با کدهای مخرب به‌روزرسانی کند».

ورود برنامه های بد به فروشگاه های برنامه غیر معمول نیست، و این اولین بار نیست که AhMyth این کار را انجام می دهد. راهش را خزید در گوگل پلی هم گوگل و هم اپل قبل از اینکه برنامه‌ها را برای دانلود در دسترس قرار دهند، آن‌ها را از نظر بدافزار بررسی می‌کنند و گاهی اوقات برای کشیدن برنامه‌ها در زمانی که ممکن است کاربران را به خطر بیندازند، فعالانه عمل می‌کنند. سال گذشته گوگل تماس گرفت بیش از 1.4 میلیون برنامه ناقض حریم خصوصی را از دسترسی به Google Play مسدود کرد.