Na Google Play pronađena aplikacija sa trojancem koji krade fajlove sa zaraženog Android uređaja

Mobilni telefoni, 24.05.2023, 08:30 AM

Na Google Play pronađena aplikacija sa trojancem koji krade fajlove sa zaraženog Android uređaja

Istraživači malvera iz kompanije ESET pronašli su trojanca za daljinski pristup (RAT) u Google Play prodavnici, sakrivenog u Android aplikaciji za snimanje ekrana sa desetinama hiljada instalacija.

Reč je o aplikaciji iRecorder - Screen Recorder koja je u prodavnici od septembra 2021. Aplikacija je trojanizovana ažuriranjem objavljenim godinu dana kasnije, u avgustu 2022.

Naziv aplikacije olakšava traženje dozvole za snimanje zvuka i pristup fajlovima na zaraženim uređajima jer takav zahtev odgovara očekivanim mogućnostima aplikacije za snimanje ekrana.

Pre nego što je uklonjena, aplikacija je preuzeta iz Play prodavnice više od 50.000 puta.

ESET je obavestio Google „o zlonamernom ponašanju iRecordera“, posle čega je Googleov tim za bezbednost uklonio opasnu aplikaciju iz prodavnice. Nažalost, aplikacija se i dalje može naći u alternativnim, nezvaničnim prodavnicama aplikacija.

Programer iRecordera nudi i druge aplikacije na Google Play, ali one ne sadrže zlonamerni kod.

Malver sakriven u aplikaciji iRecorder analitičari ESET-a nazvali su AhRat jer je baziran na Android RAT-u otvorenog koda poznatom kao AhMith.

Malver ima širok spektar mogućnosti, uključujući praćenje lokacije zaraženih uređaja, krađu evidencije poziva, kontakata i poruka, slanje SMS poruka, snimanje slika i snimanje pozadinskog zvuka.

Sama aplikacija za snimanje ekrana koristila je samo deo mogućnosti RAT-a jer je korišćena samo za snimanje i eksfiltriranje zvučnih snimaka ambijenta i za krađu fajlova sa određenim ekstenzijama, što ukazuje na moguće špijunske aktivnosti.

Ovo nije prvi slučaj da se Android malver baziran na kodu AhMitha infiltrira u Google Play prodavnicu. To se već dogodilo 2019. godine kada je ESET otkrio aplikaciju trojanizovanu AhMithom koja je dva puta prevarila Googleov proces provere aplikacija maskirajući se u aplikaciju za radio striming.

„Ranije je AhMith otvorenog koda koristila Transparent Tribe, takođe poznata kao APT36, grupa za sajber špijunažu koja je poznata po širokoj upotrebi tehnika socijalnog inženjeringa i napadima na državne i vojne organizacije u Južnoj Aziji“, rekao je analitičar malvera u kompaniji ESET Lukas Stefanko. „Ipak, ne možemo da pripišemo trenutne uzorke bilo kojoj određenoj grupi, i nema indicija da ih je proizvela poznata APT grupa“.



Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Na Google Play pronađena aplikacija sa trojancem koji krade fajlove sa zaraženog Android uređaja

Na Google Play pronađena aplikacija sa trojancem koji krade fajlove sa zaraženog Android uređaja

Istraživači malvera iz kompanije ESET pronašli su trojanca za daljinski pristup (RAT) u Google Play prodavnici, sakrivenog u Android aplikaciji za ... Dalje

Google pokreće program nagrada za greške otkrivene u njegovim Android aplikacijama

Google pokreće program nagrada za greške otkrivene u njegovim Android aplikacijama

Google je pokrenuo novi Program nagrađivanja ranjivosti mobilnih uređaja (Mobile VRP) iz kojeg će biti isplaćivani istraživači bezbednosti za gr... Dalje

WhatsApp uvodi novu opciju - ćaskanje sada možete zaključati lozinkom ili otiskom prsta

WhatsApp uvodi novu opciju - ćaskanje sada možete zaključati lozinkom ili otiskom prsta

WhatsApp je najavio da uvodi novu funkciju pod nazivom „Chat Lock“ („Zaključavanje ćaskanja“) koja omogućava korisnicima ... Dalje

Milioni Android telefona zaraženi su malverima pre nego što su isporučeni iz fabrika

Milioni Android telefona zaraženi su malverima pre nego što su isporučeni iz fabrika

Milioni Android uređaja širom sveta zaraženi su zlonamernim firmwareom pre nego što su uređaji uopšte isporučeni iz fabrika, upozorili su istra... Dalje

U aplikacijama na Google Play primećen trojanac koji vas može skupo koštati

U aplikacijama na Google Play primećen trojanac koji vas može skupo koštati

Istraživači kompanije Kaspersky primetili su u zvaničnoj prodavnici Android aplikacija Google Play novi malver nazvan “Fleckpe”, koji j... Dalje