Google ha eliminado una aplicación de grabación de pantalla llamada "iRecorder - Screen Recorder" de la Play Store después de descubrir que tenÃa capacidades de robo de información, casi un año después de que la aplicación se publicara como una aplicación inocua.
La aplicación (nombre de paquete APK "com.tsoft.app.iscreenrecorder"), que acumuló más de 50,000 instalaciones, fue cargada por primera vez el 19 de septiembre de 2021. Se cree que la funcionalidad maliciosa se introdujo en la versión 1.3.8, que se lanzó el 24 de agosto de 2022.
"Es raro que un desarrollador suba una aplicación legÃtima, espere casi un año y luego la actualice con código malicioso", dijo Lukáš Å tefanko, investigador de seguridad de ESET, en un informe técnico. "El código malicioso que se agregó a la versión limpia de iRecorder se basa en el troyano de acceso remoto (RAT) AhMyth de código abierto y se ha personalizado en lo que llamamos AhRat".
iRecorder fue identificado por primera vez como portador del troyano AhMyth el 28 de octubre de 2022, por el analista de seguridad de Kaspersky Igor Golovin, lo que indica que la aplicación logró mantenerse accesible todo este tiempo e incluso recibió una nueva actualización recientemente, el 26 de febrero de 2023.
iRecorder - Screen Recorder El comportamiento malicioso de la aplicación se centra especialmente en la extracción de grabaciones de micrófono y la recolección de archivos con extensiones especÃficas, siendo AhRat descrito por ESET como una versión más liviana de AhMyth.
La caracterÃstica de recolección de datos apunta a un posible motivo de espionaje, aunque no hay evidencia que vincule la actividad con ningún actor de amenazas conocido. Sin embargo, AhMyth ha sido utilizado anteriormente por Transparent Tribe en ataques dirigidos al sur de Asia. iRecorder - Screen Recorder iRecorder es obra de un desarrollador llamado Coffeeholic Dev, quien también ha lanzado varias otras aplicaciones a lo largo de los años. Ninguna de ellas está disponible en este momento.
iBlock (com.tsoft.app.iblock.ad)
iCleaner (com.isolar.icleaner)
iEmail (com.tsoft.app.email)
iLock (com.tsoft.app.ilock)
iVideoDownload (com.tsoft.app.ivideodownload)
iVPN (com.ivpn.speed)
File speaker (com.teasoft.filespeaker)
QR Saver (com.teasoft.qrsaver)
Este desarrollo es solo el ejemplo más reciente de malware que adopta una técnica llamada versionado, que consiste en subir una versión limpia de la aplicación a la Play Store para generar confianza entre los usuarios y luego agregar código malicioso en una etapa posterior a través de actualizaciones de la aplicación, en un intento de pasar desapercibido en el proceso de revisión de la aplicación.
"El caso de investigación de AhRat sirve como un buen ejemplo de cómo una aplicación inicialmente legÃtima puede transformarse en una maliciosa, incluso después de muchos meses, espiando a sus usuarios y comprometiendo su privacidad", dijo Å tefanko.
¿Quieres saber más de Seguridad de Dispositivos Móviles Android?