Vừa qua, công ty an ninhmạng ESET đã phát hiện ứng dụng ghi màn hình phổ biến trên Android “iRecorder -Screen Recorder” bị nhiễm mã độc trên cửa hàng ứng dụng Google Play và đặttên gọi là “AhRat”, một phiên bản tùy chỉnh của trojan truy cập từ xa (RAT) “AhMyth”.
Phiên bản mới iRecorder bị chèn mã độc hại
Ứng dụng có tên gói APK là “com.tsoft.app.iscreenrecorder”, được tải lên lần đầu vào ngày 19/9/2021. Chức năng độc hại được cho là đã xuất hiện trong phiên bản 1.3.8 phát hành vào ngày 24/8/2022. Google sau đó đã gỡ bỏ ứng dụng này và khuyến cáo người dùng nếu đã cài đặt thì nên xóa nó khỏi thiết bị của mình. Ứng dụng iRecorder là sản phẩm của nhà phát triển có tên “Coffeeholic Dev”, người cũng đã phát hành một số ứng dụng khác trong những năm qua, ví dụ như: iBlock (com.tsoft.app.iblock.ad); iCleaner (com.isolar.icleaner); iEmail (com.tsoft.app.email); iLock (com.tsoft.app.ilock); iVideoDownload (com.tsoft.app.ivideodownload); iVPN (com.ivpn.speed);…
Nghiên cứu của ESET phát hiện ra rằng iRecorder đã được nhúng mã độc dưới dạng bản cập nhật ứng dụng, gần một năm sau khi lần đầu tiên nó được đưa vào danh sách ứng dụng trên Google Play. Theo ESET, mã độc này cho phép ứng dụng tải lên âm thanh xung quanh từ micrô của thiết bị cứ sau 15 phút, cũng như trích xuất các tài liệu, trang web và tệp phương tiện từ điện thoại của người dùng.
Trước đó vào năm 2019, ESET đã công bố nghiên cứu về một ứng dụng bị nhiễm trojan truy cập từ xa (RAT) dựa trên mã nguồn mở “AhMyth”, ứng dụng này đã vượt qua được quy trình kiểm tra ứng dụng của Google bằng cách ngụy trang thành một ứng dụng độc hại cung cấp tính năng phát trực tuyến qua radio. RAT tận dụng quyền truy cập rộng rãi vào thiết bị của nạn nhân và thường có thể bao gồm điều khiển từ xa, nhưng cũng có chức năng tương tự như phần mềm gián điệp và phần mềm theo dõi.
ESET gọi mã độc mới là AhRat, một phiên bản tùy chỉnh của AhMyth. Lukas Stefanko, nhà nghiên cứu bảo mật tại ESET, người đã phát hiện ra mã độc trong iRecorder, chia sẻ rằng ứng dụng này khi ra mắt lần đầu vào tháng 9/2021 không chứa các tính năng độc hại. “Rất hiếm khi nhà phát triển tải lên một ứng dụng hợp pháp, đợi khoảng gần một năm và sau đó cập nhật mã độc, nó được thêm vào phiên bản sạch (không độc hại) của iRecorder dựa trên mã nguồn mở AhMyth Android RAT và đã tùy chỉnh một số tính năng được chúng tôi đặt tên là AhRat”, Stefanko cho biết trong một báo cáo kỹ thuật.
Hình 1. Ứng dụng iRecorder bị nhiễm mã độc trên Google Play
Ngoài việc cung cấp chức năng ghi màn hình hợp pháp, iRecorder độc hại có thể ghi lại âm thanh xung quanh từ micrô của thiết bị và tải nó lên máy chủ chỉ huy và kiểm soát (C