Méfiez-vous de cette application qui enregistre l'écran du téléphone portable et espionne tout ce que nous faisons

Un nouveau cas d'application malveillante a été détecté par ESET , une société de cybersécurité, dans laquelle il a découvert comment la plate-forme a duré un an en fournissant ses services en toute sécurité, puis a commencé à espionner les utilisateurs de manière malveillante.

iRecorder - Screen Recorder est le nom de l'application qui était disponible sur le Google Play Store , pour les téléphones portables Android , fonctionnant de manière inoffensive, offrant des options pour enregistrer l'écran du téléphone et atteignant plus de 50 000 téléchargements.

L'application est sortie en septembre 2021 et un an plus tard, en août 2022, elle a reçu une mise à jour qui la rendait malveillante dans le but de voler des fichiers et d'enregistrer de l'audio à partir de l'appareil.

"Il est rare qu'un développeur télécharge une application légitime, attende presque un an, puis la mette à jour avec un code malveillant. Le code malveillant qui a été ajouté à la version propre d'iRecorder est basé sur le RAT (Remote Access Trojan) open source pour Android », a déclaré Camilo Gutiérrez, responsable du laboratoire de recherche ESET Latin America.

Comment fonctionnait cette application ?

iRecorder a rempli son objectif d'enregistrer l'écran et malgré une mise à jour malveillante, il est resté fonctionnel pour l'utilisateur. Mais en même temps, il a enregistré l'audio autour du téléphone portable et l'a téléchargé sur le serveur de commande et de contrôle de l'attaquant.

L'accès au microphone a été obtenu à partir de l'autorisation que l'utilisateur lui a donnée lors de l'installation de l'application, car l'une de ses fonctions était d'enregistrer l'écran avec l'audio inclus.

En plus de cela, la plate-forme a pris des fichiers tels que des pages Web enregistrées, des images, des fichiers audio, des fichiers vidéo et des documents sur le serveur.

Bien que ce type de comportement malveillant ait tendance à être utilisé dans les campagnes d'espionnage, au cours de son enquête, l'entreprise n'a pas trouvé qui était responsable de cette attaque et l'utilisateur qui a téléchargé l'application sur le Play Store a d'autres applications dans le magasin, mais elles sont toutes légitime.

"Après avoir signalé le comportement malveillant d'iRecorder, l'équipe de sécurité de Google Play a supprimé l'application du magasin. Cependant, il est important de noter que l'application peut également être disponible sur des marchés Android alternatifs et non officiels », a déclaré Gutierrez.

AhMyth RAT , le logiciel malveillant utilisé pour cette affaire, a été utilisé par Transparent Tribe, également connu sous le nom d'APT36, et est un groupe de cyberespionnage d'ingénierie sociale qui cible souvent les organisations gouvernementales et militaires en Asie du Sud.

Cet outil d'attaque offre diverses fonctions malveillantes, notamment l'extraction des journaux d'appels, des contacts et des messages texte, il peut également obtenir la liste des fichiers sur l'appareil, suivre l'emplacement de l'appareil, envoyer des messages SMS, enregistrer de l'audio et prendre des photos.

Cependant, pour attaquer cette application, les cybercriminels ont décidé de profiter des autorisations obtenues lors de l'installation de la plateforme et de ne pas demander de nouveaux accès qui attireraient l'attention, pour cette raison, ils se sont limités à enregistrer l'audio et à voler des fichiers.

« Cette recherche sert d'exemple de la façon dont une application initialement légitime peut se transformer en une application malveillante, même après plusieurs mois. Le développeur derrière cette application a peut-être eu l'intention de créer une base d'utilisateurs avant de compromettre leurs appareils Android via une mise à jour, ou un acteur malveillant a introduit ce changement dans l'application », a conclu l'expert.