El equipo de investigación de ESET descubre un troyano espía en la aplicación de Android iRecorder

Los investigadores de ESET han descubierto una aplicación troyanizada para Android llamada iRecorder-Screen Recorder que antes de su eliminación contaba con más de 50.000 descargas. La aplicación estaba disponible en Google Play desde septiembre de 2021 y se estima que la funcionalidad maliciosa fue añadida en agosto de 2022. El código malicioso que se añadió a la versión fiable de iRecorder se basa en AhMyth Android RAT un troyano de acceso remoto y código abierto que ha sido personalizado, en lo que ESET llamó AhRat. La aplicación maliciosa era capaz de grabar audio utilizando el micrófono del dispositivo y robar archivos, lo que sugiere que podría formar parte de una campaña de espionaje.

Además de en Google Play Store, ESET Research no ha detectado AhRat en ningún otro lugar, sin embargo, esta no es la primera vez que el malware para Android basado en AhMyth está disponible en la tienda oficial. ESET ya publicó en 2019 una investigación sobre una aplicación troyanizada de tipo spyware construida sobre los cimientos de AhMyth.  Se trataba de una aplicación maliciosa que ofrecía transmisión de radio y que eludió el proceso de verificación de aplicaciones de Google dos veces. La app iRecorder también se puede encontrar en mercados alternativos y no oficiales de Android, y el desarrollador también proporciona otras aplicaciones en Google Play pero no contienen código malicioso. 

«El caso de la investigación AhRat sirve como un buen ejemplo de cómo una aplicación inicialmente legítima puede transformarse en maliciosa, incluso después de muchos meses, espiando a sus usuarios y comprometiendo su privacidad. Si bien es posible que el desarrollador de la aplicación haya tenido la intención de construir una amplia base de usuarios antes de comprometer sus dispositivos Android a través de una actualización o que un actor malicioso haya introducido este cambio en la aplicación; hasta ahora, no tenemos evidencia de ninguna de estas hipótesis», explica el investigador de ESET Lukáš Štefanko, quien descubrió e investigó la amenaza.

La AhRat controlada remotamente es una personalización de la AhMyth RAT de código abierto, lo que significa que los autores de la aplicación maliciosa invirtieron un esfuerzo significativo en comprender el código tanto de la aplicación como del back-end, adaptándolo en última instancia a sus propias necesidades. 

Además de proporcionar una funcionalidad legítima de grabación de pantalla, el iRecorder malicioso puede grabar el audio circundante desde el micrófono del dispositivo y subirlo al servidor de mando y control del atacante. También puede extraer del dispositivo archivos con extensiones que representan páginas web guardadas, imágenes, archivos de audio, vídeo y documentos, y formatos de archivo utilizados para comprimir varios elementos. 

Los usuarios de Android que instalaron una versión anterior de iRecorder (anterior a la versión 1.3.8), que carecía de funciones maliciosas, habrían expuesto sin saberlo sus dispositivos a AhRat si actualizaban posteriormente la aplicación de forma manual o automática, incluso sin conceder más permisos a la aplicación. 

«Afortunadamente, en Android 11 y versiones superiores ya se han implementado medidas preventivas contra este tipo de acciones maliciosas en forma de hibernación de aplicaciones. Esta función pone en estado de hibernación las aplicaciones que han estado inactivas durante varios meses, restableciendo así sus permisos de ejecución e impidiendo que las aplicaciones maliciosas funcionen según lo previsto». La aplicación maliciosa fue eliminada de Google Play después de nuestra alerta, lo que confirma que la necesidad de protección a través de múltiples capas, como ESET Mobile Security, sigue siendo esencial para proteger los dispositivos contra posibles brechas de seguridad», concluye Štefanko.

ESET Research aún no ha encontrado ninguna evidencia concreta que permita atribuir esta actividad a una campaña o grupo APT en particular.  

Lukas Stefanko
Consulta el post en inglés aquí.

Aplicación maliciosa para Android se hace pasar por una versión de la cartera de criptomonedas Metamask