אפליקציית iRecorder, שהחלה כלגיטימית, התגלתה כזדונית אחרי שנה

iRecorder הייתה אפליקציית אנדרואיד לגיטימית, אולם בתוך שנה היא הפכה לזדונית וריגלה אחרי המשתמשים – כך עולה ממחקר חדש של ESET.

חוקרי ענקית אבטחת המידע גילו אפליקציה לאנדרואיד, שכוללת נוזקת סוס טרויאני בשם iRecorder – Screen Recorder. יש לציין ש-iRecorder הייתה זמינה להורדה ב-Google Play החל מספטמבר 2021, והאפשרויות הזדוניות נוספו אליה, ככל הנראה, באוגוסט 2022.

במהלך מחזור החיים שלה, iRecorder הותקנה ביותר מ-50 אלף מכשירים. הנוזקה שנוספה לגרסה הנקייה של היישומון מבוססת על נוזקת AhMyth, שמבוססת על קוד פתוח ומהווה סוס טרויאני לגישה מרחוק (RAT – Remote Access Trojan). חוקרי ESET כינו אותה בשם AhRAT. הנוזקה מסוגלת להקליט אודיו באמצעות המיקרופון של המכשיר ולגנוב קבצים – מה שעלול להצביע על כך שהיא הייתה חלק מקמפיין ריגול.

האפליקציה הזדונית כפי שהוצגה ב-Google Play. צילום: לכידת מסך

החוקרים לא זיהו את נוזקת AhRAT במקום כלשהו למעט ב-Google Play. יצוין שזוהי לא הפעם הראשונה שבה נוזקת אנדרואיד שמבוססת על AhMyth הייתה זמינה להורדה בחנות הרשמית: כבר ב-2019, חוקרי ESET פרסמו מחקר על אפליקציה כזו, שמודבקת בסוס טרויאני. במקרה ההוא, הרוגלה התבססה על היסודות של AhMyth, עקפה את תהליך אימות האפליקציות של גוגל פעמיים והצליחה להישאר בחנות כנוזקה המספקת שירותי סטרימינג של תחנות רדיו.

יצוין שאפליקציית iRecorder עדיין ניתנת להורדה מחנויות אפליקציות אלטרנטיביות ולא רשמיות.

לוקאס סטפנקו, חוקר ESET שגילה את האיום וחקר אותו, אמר כי "המקרה של AhRAT משמש דוגמה מצוינת לאופן שבו אפליקציה שמתחילה כלגיטימית עלולה להפוך לזדונית, לרגל אחרי המשתמשים שלה ולפגוע בפרטיות שלהם. ייתכן שמפתח התוכנה התכוון לבנות בסיס משתמשים גדול לפני שפגע במכשירי האנדרואיד שלהם באמצעות העדכון, או שגורם זדוני יצר את השינוי הזה באפליקציה. עד כה, אין לנו עדות כלשהי שמחזקת את אחת משתי ההשערות האלה".

גרסה מותאמת אישית של AhMyth

נוזקת AhRAT, הנשלטת מרחוק, היא גרסה מותאמת אישית של הסוס הטרויאני לגישה מרחוק (RAT) המכונה AhMyth – מה שמצביע על כך שמפתחי הנוזקה השקיעו מאמץ גדול בהבנת הקוד של האפליקציה ושל הבקאנד שלה, וכך התאימו אותה לצרכיהם.

מלבד מתן האפשרות הלגיטימית להקלטת המסך, אפליקציית iRecorder הזדונית הייתה יכולה להקליט אודיו סביבתי מהמיקרופון של המכשיר ולהעלות את ההקלטות לשרת השליטה והבקרה של התוקף. היא הייתה יכולה בנוסף להדליף קבצים המאוחסנים במכשיר עם סיומות שמייצגות דפי רשת, תמונות, שמע, סרטונים ופורמטים שונים שמשמשים לכיווץ נתונים.

משתמשי אנדרואיד שהתקינו את הגרסה המוקדמת של iRecorder (קודמת ל-1.3.8), שלא כללה מאפיינים זדוניים כלשהם, חשפו בלא ידיעתם את המכשירים שלהם לנוזקת AhRAT אם הם עדכנו את האפליקציה באופן ידני או אוטומטי – והם אפילו לא נדרשו לתת לאפליקציה הרשאות נוספות.

סטפנקו אמר ש-"למרבה המזל, אמצעים מניעתיים נגד פעולות זדוניות כאלה כבר הוטמעו בגרסאות 11 והלאה של אנדרואיד, כשהאמצעי העיקרי הוא השבתת אפליקציות (App Hibernation). האפשרות הזאת מביאה יישומונים שלא הופעלו במשך כמה חודשים למצב שינה, ובכך מאפסת את הרשאות הריצה שלהן ומונעת מהאפליקציות הזדוניות לבצע את מה שתוכננו לבצע". הוא ציין כי "האפליקציה הזדונית הוסרה מ-Google Play בעקבות הפנייה שלנו, מה שמוכיח שהצורך באבטחה שניתנת בצורה של ריבוי שכבות עדיין מהווה חלק חיוני בהגנה על מכשירים מפני פרצות אבטחה אפשריות".

גוף המחקר של ESET טרם מצא עדויות מוצקות כלשהן שיכולות לקשר את הפעילות הזאת לקמפיין ספציפי או לקבוצת תקיפה (APT) ספציפית.