ALERTA: App de gravação de tela na Google Play se torna malicioso através de uma atualização


Pesquisadores da ESET descobriram o AhRat, um novo trojan de acesso remoto (RAT) para Android. A ameaça é baseada no código do malware AhMyth que permite extrair arquivos e gravar áudio.

A equipe de pesquisa da ESET descobriu um aplicativo trojanizado para Android que estava disponível na Google Play com mais de 50 mil instalações. O aplicativo, chamado iRecorder – Screen Recorder, foi inicialmente enviado para a loja no dia 19 de setembro de 2021 sem qualquer funcionalidade maliciosa. No entanto, aparentemente, funcionalidades maliciosas foram implementadas no aplicativo, provavelmente na versão 1.3.8, que foi disponibilizada em agosto de 2022.

É raro um desenvolvedor enviar um aplicativo legítimo, esperar quase um ano e depois atualizá-lo com um código malicioso. O código malicioso que foi adicionado à versão limpa do iRecorder é baseado no código aberto do RAT (trojan de acesso remoto) para Android, AhMyth, e foi personalizado em algo que chamamos de AhRat.

Além desse caso, não detectamos o AhRat em nenhum outro lugar até o momento. No entanto, esta não é a primeira vez que detectamos um malware para Android baseado no AhMyth na Google Play; publicamos anteriormente uma pesquisa sobre um aplicativo trojanizado baseado no código do AhMyth. Naquela ocasião, o spyware, construído com base no AhMyth, conseguiu contornar o processo de verificação de aplicativos da Google Play duas vezes, se passando por um aplicativo malicioso de streaming de rádio.

Visão geral do aplicativo

Além de fornecer funcionalidade legítima de gravação de tela, o aplicativo malicioso iRecorder pode gravar áudio ambiente do microfone do dispositivo e enviá-lo para o servidor de comando e controle (C&C) do atacante. O app também pode extrair arquivos com extensões que representam páginas da web salvas, imagens, áudio, vídeo e documentos, além de formatos de arquivo usados para compactar vários arquivos, do dispositivo. O comportamento malicioso específico do aplicativo – extrair gravações de microfone e roubar arquivos com extensões específicas – sugere que ele faz parte de uma campanha de espionagem. No entanto, não conseguimos atribuir o aplicativo a nenhum grupo malicioso específico.

Como parceiro da Google App Defense Alliance, a ESET identificou a versão mais recente do aplicativo como maliciosa e prontamente compartilhou suas descobertas com a Google. Após nosso alerta, o aplicativo foi removido da Google Play.

Distribuição

O aplicativo iRecorder foi lançado inicialmente na Play Store em 19 de setembro de 2021, oferecendo funcionalidade de gravação de tela; naquela época, o app não continha recursos maliciosos. No entanto, por volta de agosto de 2022, detectamos que o desenvolvedor do aplicativo incluiu uma funcionalidade maliciosa na versão 1.3.8, até março de 2023, o aplicativo acumulou mais de 50 mil instalações.

No entanto, os usuários do Android que haviam instalado uma versão anterior do iRecorder (anterior à versão 1.3.8), que não possuía recursos maliciosos, teriam exposto seus dispositivos ao AhRat sem saber, caso posteriormente atualizassem o aplicativo manualmente ou automaticamente, mesmo sem conceder qualquer aprovação adicional de permissão do aplicativo.

Após nossa notificação sobre o comportamento malicioso do iRecorder, a equipe de segurança da Google Play o removeu da loja. No entanto, é importante observar que o aplicativo também pode ser encontrado em mercados alternativos e não oficiais do Android. O desenvolvedor do iRecorder também oferece outros aplicativos na Google Play, mas eles não contêm código malicioso.

Atribuição

Anteriormente, o AhMyth, um malware de código aberto, foi utilizado pelo Transparent Tribe, também conhecido como APT36, um grupo de ciberespionagem conhecido por seu amplo uso de técnicas de engenharia social e por visar organizações governamentais e militares no Sul da Ásia. No entanto, não podemos atribuir as amostras atuais a nenhum grupo específico, e não há indicações de que tenham sido produzidas por um grupo conhecido de ameaças persistentes avançadas (APT).

Análise

Durante nossa análise, identificamos duas versões de código malicioso baseadas no AhMyth RAT. A primeira versão maliciosa do iRecorder continha partes do código malicioso do AhMyth RAT, copiadas sem nenhuma modificação. A segunda versão maliciosa, que chamamos de AhRat, também estava disponível na Google Play, e seu código do AhMyth foi personalizado, incluindo o código e a comunicação entre o servidor C&C e o backdoor. Até o momento desta publicação, não observamos o AhRat em nenhum outro aplicativo do Google Play ou em outro lugar, sendo o iRecorder o único aplicativo que continha esse código personalizado.

O AhMyth RAT é uma ferramenta poderosa, capaz de realizar várias funções maliciosas, incluindo a exfiltração de registros de chamadas, contatos e mensagens de texto, obtenção de uma lista de arquivos no dispositivo, rastreamento da localização do dispositivo, envio de mensagens SMS, gravação de áudio e captura de imagens. No entanto, observamos apenas um conjunto limitado de recursos maliciosos derivados do AhMyth RAT original em ambas as versões analisadas nesta publicação. Essas funcionalidades pareciam se encaixar no modelo de permissões de aplicativos já definido, que concede acesso a arquivos no dispositivo e permite a gravação de áudio. Vale ressaltar que o aplicativo malicioso fornecia funcionalidade de gravação de vídeo, portanto, era esperado que solicitasse permissão para gravar áudio e armazená-lo no dispositivo. Após a instalação do aplicativo malicioso, ele se comportava como um aplicativo padrão, sem solicitar permissões extras especiais que pudessem revelar suas intenções maliciosas.

.

Conclusão

A pesquisa sobre o AhRat serve como um bom exemplo de como um aplicativo inicialmente legítimo pode se transformar em um malicioso, mesmo após muitos meses, espionando seus usuários e comprometendo sua privacidade. Embora seja possível que o desenvolvedor do aplicativo tenha pretendido criar uma base de usuários antes de comprometer seus dispositivos Android por meio de uma atualização, ou que um cibercriminoso tenha introduzido essa alteração no aplicativo, até agora não temos evidências para nenhuma dessas hipóteses.

Felizmente, medidas preventivas contra tais ações maliciosas já foram implementadas no Android 11 e em versões mais recentes na forma de hibernação de aplicativos. Essa função coloca efetivamente os aplicativos que estiveram inativos por vários meses em um estado de hibernação, redefinindo suas permissões em tempo de execução e impedindo que aplicativos maliciosos funcionem como pretendido. O aplicativo malicioso foi removido da Google Play após nosso alerta, o que confirma que a necessidade de proteção fornecida por várias camadas, como o ESET Mobile Security, continua essencial para proteger os dispositivos contra possíveis violações de segurança.

O AhRat é uma versão personalizada de código aberto do AhMyth RAT, o que significa que os autores do aplicativo malicioso investiram esforço significativo para entender o código do aplicativo e do backend, adaptando-o para atender às suas próprias necessidades.

O comportamento malicioso do AhRat, que inclui a gravação de áudio usando o microfone do dispositivo e o roubo de arquivos com extensões específicas, pode indicar que ele fazia parte de uma campanha de espionagem. No entanto, ainda não encontramos evidências concretas que nos permitam atribuir essa atividade a uma campanha específica ou a um grupo APT

Para saber mais sobre segurança da informação, visite o portal de notícias ESET