Investigadores de ciberseguridad descubrieron un troyano en la aplicación para dispositivos Android iRecorder-Secreen Recorder, que era capaz de grabar audio utilizando el micrófono del dispositivo y robar distintos tipos de archivos guardados en él, lo que sugiere que el troyano formaba parte de una campaña de espionaje.
Así lo explicaron investigadores de la compañía de ciberseguridad ESET, quienes descubrieron la aplicación troyanizada iRecorder, que incluía un código malicioso que se añadió a la versión fiable de la ‘app’ en Google Play y que se basa en el troyano conocido como AhMyth Android RAT, de acceso remoto y código abierto. En este caso el troyano ha sido personalizado en una versión que ESET ha denominado como AhRat.
También puedes leer: Ciberdelincuentes “pueden recuperar” cuentas bloqueadas de WhatsApp a cambio de dinero
iRecorder es una aplicación de Android que ofrece una herramienta de grabación de vídeo y grabación de pantalla que se utiliza para capturar vídeos en vivo o juegos, además de otros contenidos y realizar vídeos con este contenido posteriormente.
En este sentido, según los investigadores de ESET se descubrió el troyano AhRat en dicha ‘app’, que tenía el objetivo de espiar a los usuarios comprometiendo su privacidad, como explican en un comunicado. La app iRecorder infectada llevaba a cabo acciones de forma remota como la grabación de audio circundante desde el micrófono del dispositivo, para después subirlo al servidor de mando y control del actor malicioso.
De la misma forma, el troyano AhRat extraía del dispositivo archivos con extensiones que representasen páginas web guardadas, imágenes, audios, vídeo, documentos y formatos de archivo utilizados para comprimir varios elementos.
Esta aplicación infectada afectó a los usuarios Android que instalaron una versión de iRecorder anterior a la versión 1.3.8, ya que habrían expuesto de forma inconsciente sus datos y archivos a AhRat “incluso sin conceder permisos a la aplicación”.
No obstante, desde ESET informaron de que la aplicación maliciosa ya fue eliminada de Google Play, y detalló que en Android 11 y versiones superiores ya implementaron “medidas preventivas” contra este tipo de acciones maliciosas.
Estas medidas se establecieron en forma de “hibernación de aplicaciones”. Esto es, poner en estado de hibernación a las ‘apps’ cuya actividad ha estado inactiva durante varios meses. Para volver a hacer uso se restablecen los permisos de ejecución y, por tanto, se impide que las ‘apps’ maliciosas funcionen.
AhMyth Rat
En el caso del troyano AhRat, se trata de una personalización de AhMyth RAT de código abierto, lo que quiere decir que los ciberdelincuentes “invirtieron un esfuerzo significativo” en comprender el código de la aplicación para adaptarlo a las necesidades del troyano. Sin embargo, no se encontró evidencias concretas que permitan atribuir esta actividad a una campaña o grupo en particular.
La aplicación iRecorder contaba con más de 50 mil descargas antes de que fuese eliminada y estaba disponible en Google Play desde 2021. Sin embargo, se estima que la funcionalidad maliciosa fue añadida en agosto de 2022.
“El caso de la investigación AhRat sirve como un buen ejemplo de cómo una aplicación inicialmente legítima puede transformarse en maliciosa, incluso después de muchos meses, espiando a sus usuarios y comprometiendo su privacidad”, explicó uno de los investigadores que descubrió la amenaza, Lukas Stefanko.
Aparte de en Google Play Store, ESET Research no ha detectado el troyano AhRat en ningún otro lugar pero aprovecharon para recordar que esta “no es la primera vez” que el ‘malware’ para Android basado en AhMyth está disponible en la tienda oficial de aplicaciones de Android.
Échale un ojo: ¿WhatsApp permitirá la edición de mensajes? Esto sabemos
Del mismo modo se hizo referencia a una investigación de 2019, en la que ESET descubrió una aplicación troyanizada de tipo ‘spyware’ construida sobre AhMyth que “eludió el proceso de verificación de aplicaciones de Google dos veces”.
