אפליקציית אנדרואיד לגיטימית iRecorder הפכה לזדונית תוך שנה וריגלה אחרי משתמשים
מאת:
מערכת Telecom News, 23.5.23, 16:02
האפליקציה הותקנה על יותר מ-50,000 מכשירים. מה יכולותיה הזדוניות?
חוקרי חברת אבטחת המידע
ESET גילו אפליקציה לאנדרואיד הכוללת נוזקת סוס טרויאני בשם
“iRecorder - Screen Recorder”. האפליקציה הייתה זמינה להורדה ב-
Google Play Store כאפליקציה לגיטימית בספטמבר 2021, והאפשרויות הזדוניות נוספו ככל הנראה באוגוסט 2022.
אפליקציית
iRecorder:
במהלך תקופת חייה, האפליקציה הותקנה על יותר מ-50,000 מכשירים. הקוד הזדוני, שנוסף לגרסה הנקייה של
iRecorder, מבוסס על נוזקת
AhMyth, שמבוססת על קוד פתוח ומוגדרת כסוס טרויאני לגישה מרחוק (
RAT-
Remote Access Trojan) ושונתה לנוזקה, שכונתה בשם ״
AhRAT״ ע״י
ESET. האפליקציה הזדונית מסוגלת להקליט שמע באמצעות המיקרופון של המכשיר ולגנוב קבצים, מה שעלול להצביע על כך, שהיא הייתה חלק מקמפיין ריגול.
החברה לא זיהה את נוזקת
AhRAT באף מקום מלבד
Google Play Store. עם זאת, זו לא הפעם הראשונה שבה נוזקת אנדרואיד, שמבוססת על
AhMyth, הייתה זמינה להורדה בחנות הרשמית; החברה פרסמה מחקר על אפליקציה כזו המודבקת בסוס טרויאני ב-2019. הרוגלה מהמקרה ההוא, שמתבססת על היסודות של
AhMyth, עקפה את תהליך אימות האפליקציות של גוגל פעמיים והצליחה להישאר בחנות כנוזקה המספקת שירותי הזרמת רדיו. לעומתה, את אפליקציית
iRecorder עדיין ניתן למצוא בחנויות אפליקציות אלטרנטיביות ולא-רשמיות, והמפתח עדיין מציע אפליקציות אחרות להורדה ב-
Google Play Store, אך אלו אינן כוללות קוד זדוני.
נוזקת
AhRAT, שנשלטת מרחוק, היא וריאנט מותאם אישית של הסוס הטרויאני לגישה מרחוק (
RAT) המכונה
AhMyth, מה שמצביע על כך, שמפתחי התוכנה הזדונית השקיעו מאמץ גדול בהבנת הקוד של האפליקציה ושל ה-
Backend שלה, וכך התאימו אותה לצרכיהם.
מלבד מתן האפשרות הלגיטימית להקלטת המסך, אפליקציית
iRecorder הזדונית הייתה יכולה להקליט שמע סביבתי מהמיקרופון של המכשיר ולהעלות את ההקלטות לשרת השליטה והבקרה של התוקף.
היא יכלה גם להדליף קבצים המאוחסנים במכשיר עם סיומות המייצגות דפי רשת, תמונות, שמע, סרטונים ופורמטים שונים המשמשים לכיווץ נתונים.
משתמשי אנדרואיד, שהתקינו את הגרסה המוקדמת של
iRecorder (קודמת ל-1.3.8), שלא כללה מאפיינים זדוניים כלשהם, חשפו ללא ידיעתם את המכשירים שלהם לנוזקת
AhRAT אם עדכנו את האפליקציה באופן ידני או אוטומטי, והם אפילו לא נדרשו לתת לאפליקציה הרשאות נוספות.
לוקאס סטפנקו, חוקר
ESET, שגילה את האיום וחקר אותו: ״המחקר על המקרה של
AhRAT משמש דוגמה מצוינת לאופן בו אפליקציה, שמתחילה כלגיטימית, יכולה להפוך לזדונית, גם לאחר מספר חודשים, וכך לרגל אחרי המשתמשים שלה ולפגוע בפרטיות שלהם. ייתכן שמפתח התוכנה התכוון לבנות בסיס משתמשים גדול לפני שפגע במכשירי האנדרואיד שלהם באמצעות העדכון, או שגורם זדוני יצר את השינוי הזה באפליקציה, אך עד כה אין לנו עדות כלשהי המחזקת את אחת מ-2 ההשערות האלו.
למרבה המזל, אמצעים מניעתיים כנגד פעולות זדוניות כאלו כבר הוטמעו בגרסאות 11 ומעלה של אנדרואיד, כשהאמצעי העיקרי הוא השבתת אפליקציות (
App Hibernation). האפשרות הזאת מביאה אפליקציות, שלא הופעלו במשך מספר חודשים, למצב שינה, ובכך איפסה את הרשאות הריצה שלהן ומנעה מהאפליקציות הזדוניות לבצע את מה שתוכננו לבצע.
האפליקציה הזדונית הוסרה מ-
Google Play Store בעקבות ההתרעה שלנו, מה שמוכיח, שהצורך באבטחה הניתנת בצורה של ריבוי שכבות, כמו ב-
ESET Mobile Security, עדיין מהווה חלק חיוני בהגנה על מכשירים מפני פרצות אבטחה אפשריות. עדיין לא נמצאו עדויות מוצקות כלשהן היכולות לקשר את הפעילות הזאת לקמפיין ספציפי או לקבוצת איום (
APT) ספציפית.