Su Google Play spesso si trovano app potenzialmente pericolose dotate di malware che possono trasmettere i nostri dati a malintenzionati a vari livelli, ma quella scoperta da un ricercatore della società di sicurezza ESET è particolarmente grave (ecco la differenza tra antivirus e anti malware).
iRecorder Screen Recorder, un'app che consente di registrare lo schermo del telefono, era infatti stata pubblicata a settembre 2021 in maniera assolutamente legittima, ma undici mesi (e 50.000 download) dopo è stata aggiornata per trasformarla in una vera e propria spia nelle nostre tasche.
Secondo Lukas Stefanko, autore della ricerca, l'app infatti ha acquisito funzionalità inedite, come la possibilità di attivare in remoto tramite una backdoor il microfono del dispositivo e registrare il suono per un minuto, connettersi ogni 15 minuti a un server controllato dallo sviluppatore (ovviamente non con intenzioni benevole) e caricare l'audio e altri file sensibili archiviati sul dispositivo attraverso un canale crittografato.
Stefanko ha scoperto che per implementare queste "capacità" lo sviluppatore ha utilizzato come base AhMyth, un Trojan open source di tipo RAT (Remote Access Trojan) già utilizzato in altre situazioni.
Il ricercatore ha potuto verificare il comportamento dell'app e l'invio dei dati su un server noto nell'ambiente come di comando e controllo (C&C o C2) su numerosi dispositivi, con sempre le medesime caratteristiche.
Ma non solo. Stefanko ha scoperto che la prima versione di iRecorder a includere la funzionalità "spia" è stata la 1.3.8, resa disponibile nell'agosto 2022, e se in questa il RAT AhMyth era stato inserito senza modifiche, lo sviluppatore ha poi rilasciato un aggiornamento che ne cambiava diverse caratteristiche.
Questa versione, battezzata da Stefanko Irecorder Ahrat, conteneva modifiche al codice per la comunicazione tra il server C&C e la backdoor. Secondo il ricercatore, lo sviluppatore aveva attivato solo un sottoinsieme di funzioni del RAT AhMyth che rientravano nel set di autorizzazioni dell'app, e senza richiedere ulteriori autorizzazioni.
Nello specifico, la versione di AhMyth in iRecorder conteneva nel suo file di configurazione una serie di funzioni come:
- RECORD_MIC*
- CAPTURE_SCREEN
- LOCATION
- CALL_LOG
- KEYLOG
- NOTIFICATION
- SMS
- OTT
- WIFI
- APP_LIST
- PERMISSION
- CONTACT
- FILE_LIST*
- UPLOAD_FILE_AFTER_DATE*
- LIMIT_UPLOAD_FILE_SIZE*
- UPLOAD_FILE_TYPE*
- UPLOAD_FILE_FOLDER*
- SCHEDULE_INTERVAL
ma solo quelle in neretto (sei su diciotto) sono state implementate. Secondo Stefanko, AhRat era in fase attiva di sviluppo, e le funzionalità non erano state implementate non perché avrebbero potuto insospettire l'utente. Inoltre il ricercatore ha potuto verificare come l'app ricevesse comandi per estrarre file da meno di 20 MB dal dispositivo e inviarli dalla cartella di download (/storage/emulated/0/Download) al server C2. I file avevano le seguenti estensioni: zip, rar, jpg, jpeg, jpe, jif, jfif, jfi , png, mp3, mp4, mkv, 3gp, m4v, mov, avi, gif, webp, tiff, tif, heif, heic, bmp, dib, svg, ai, eps, pdf, doc, docx, html, htm, odt , pdf, xls, xlsx, ods, ppt, pptx e txt.
Al momento, AhRat non è stata osservata in nessun'altra app di Google Play o altrove, e non si sa quale fosse lo scopo dell'attacco, se facesse parte di una campagna di spionaggio mirata e chi ci fosse dietro, ma questo tipo di Trojan (i RAT di tipo AhMyth) sono già stati scoperti in app Android nel 2019 e nel 2013, in quest'ultimo caso con l'intenzione di spiare il personale governativo indiano.
Inoltre, il ricercatore non sa se l'app fosse legittima e un attore malintenzionato abbia introdotto la modifica a insaputa dello sviluppatore o se già nei piani dello stesso ci fosse l'intenzione di introdurre questo malware, ma resta comunque un esempio interessante (e preoccupante) di come le app possano trasformarsi nel tempo.
Secondo Stefanko, Google sta migliorando nel proteggere i suoi utenti, soprattutto grazie alla funzione di ibernazione delle app introdotta con Android 11. Questa consente di mettere in ibernazione e rimuovere le autorizzazioni alle app che sono state in "stato dormiente", ma non è chiaro se sia stata utilizzata da qualcuno dei 50.000 dispositivi che hanno installato iRecorder.