חוקרי חברת אבטחת המידע של ESET גילו אפליקציה לאנדרואיד שכוללת נוזקת סוס טרויאני בשם “iRecorder - Screen Recorder”. מעל 50,000 משתמשים ברחבי העולם התקינו אצלם את האפליקציה.

תחילה, עם השקת האפליקציה בספטמבר 2021, לא זוהו מאפיינים שגרמו לנזק כלשהו לבעלי המכשירים שהתקינו אותה, אבל לאחר כמה חודשים האפליקציה קיבלה עדכון שכלל קוד זדוני והוא מבוסס על נוזקת AhMyth ומוגדרת כסוס טרויאני לגישה מרחוק (RAT - Remote Access Trojan) ושונתה לנוזקה שכונתה ע"י ESET בשם "AhRAT". האפליקציה הזדונית מסוגלת להקליט סאונד באמצעות המיקרופון של המכשיר ולגנוב ממנו קבצים, מה שעשוי להצביע על כך שהיא הייתה חלק מקמפיין ריגול.

ESET לא זיהו את נוזקת AhRAT באף מקום מלבד Google Play Store. עם זאת, זו לא הפעם הראשונה שבה נוזקת אנדרואיד שמבוססת על AhMyth הייתה זמינה להורדה בחנות הרשמית. החברה פרסמה מחקר על אפליקציה כזו המודבקת בסוס טרויאני בשנת 2019. הרוגלה מהמקרה ההוא, שמתבססת על היסודות של AhMyth, עקפה את תהליך אימות האפליקציות של גוגל פעמיים והצליחה להישאר בחנות כנוזקה המספקת שירותי הזרמת רדיו. לעומתה, את אפליקציית iRecorder עדיין ניתן למצוא בחנויות אפליקציות אלטרנטיביות ולא-רשמיות, והמפתח עדיין מציע אפליקציות אחרות להורדה ב-Google Play Store, אך אלו אינן כוללות קוד זדוני.

מלבד מתן האפשרות הלגיטימית להקלטת המסך, אפליקציית iRecorder הזדונית יכלה להקליט שמע סביבתי מהמיקרופון של המכשיר ולהעלות את ההקלטות לשרת הנשלט ע"י התוקף. היא יכלה גם להדליף קבצים המאוחסנים במכשיר עם סיומות המייצגות דפי רשת, תמונות, שמע, סרטונים ופורמטים שונים המשמשים לכיווץ נתונים.

משתמשי אנדרואיד שהתקינו את הגרסה המוקדמת של iRecorder (קודמת ל-1.3.8), שלא כללה מאפיינים זדוניים כלשהם, חשפו את המכשירים שלהם, ללא ידיעתם, לנוזקת AhRAT. זאת במידה ועדכנו את האפליקציה באופן ידני או אוטומטי. המשתמשים אפילו לא נדרשו לתת לאפליקציה הרשאות נוספות.

נוזקת AhRAT הנשלטת מרחוק היא וריאנט מותאם אישית של הסוס הטרויאני לגישה מרחוק (RAT) המכונה AhMyth, מה שמצביע על כך שמפתחי התוכנה הזדונית השקיעו מאמץ רב בהבנת הקוד של האפליקציה ושל ה-Backend שלה, וכך התאימו אותה לצרכיהם.

"למרבה המזל, אמצעים מניעתיים כנגד פעולות זדוניות כאלה הוטמעו כבר בגרסאות 11 ומעלה של אנדרואיד, כשהאמצעי העיקרי הוא השבתת אפליקציות (App Hibernation). האפשרות הזאת מביאה אפליקציות שלא הופעלו במשך מספר חודשים למצב שינה, ובכך איפסה את הרשאות הריצה שלהן ברקע ומנעה מהאפליקציות הזדוניות לבצע את מה שתוכננו לבצע. האפליקציה הזדונית הוסרה מ-Play Store בעקבות ההתרעה שלנו, מה שמוכיח שהצורך באבטחה הניתנת בצורה של ריבוי שכבות, עדיין מהווה חלק חיוני בהגנה על מכשירים מפני פרצות אבטחה אפשריות", מסכם סטפנקו.

ESET עדיין לא מצאו עדויות מוצקות כלשהן שיכולות לקשר את הפעילות הזאת לקמפיין ספציפי או לקבוצת תקיפה (APT) ספציפית.