Una app de Android llamada iRecorder Screen Recorder grabó en secreto a los usuarios que la descargaron durante casi un año. La aplicación de grabación ya tenía más de 50 mil descargas antes de que Google Play la eliminara de su tienda, reportó un estudio de la compañía de ciberseguridad, ESET.
La app de Android comenzó a grabar un minuto de audio cada 15 minutos y reenviar esas grabaciones, a través de un enlace encriptado, al servidor del desarrollador, destaca la investigación.
¿Cuándo comenzó la app de Android a espiar a los usuarios?
Inicialmente, iRecorder no tenía funciones dañinas, pero tras una actualización la aplicación fue infectada con un código malicioso, según el documento.
“La app se cargó inicialmente en la tienda sin funcionalidad maliciosa el 19 septiembre de 2021. Sin embargo, el troyano se implementó en la versión 1.3.8, que estuvo disponible en agosto 2022”.
ESET
La empresa explicó que los usuarios que instalaron una versión anterior de iRecorder, también habrían expuesto sus dispositivos si posteriormente se actualizó de forma manual o automática.
ESET subrayó que, probablemente, la app de Android formaba parte de una campaña de espionaje, pero aclaró que no se pudo atribuir la aplicación a ningún grupo malicioso en particular.
¿Cómo ataca iRecorder a los usuarios?
ESET compartió cómo ataca esta app maliciosa:
- Graba el audio circundante desde el micrófono del dispositivo y lo cargar en el servidor de comando y control (C&C) del atacante.
- Roba archivos con extensiones específicas como documentos, imágenes y archivos de audio y video.
¿Cuál es el código malicioso que afectó a miles de usuarios?
El código malicioso que se agregó a iRecorder se basa en el código abierto AhMyth Android RAT (troyano de acceso remoto), también conocido como AhRat, dijo ESET.
La empresa de seguridad destacó que no ha detectado otro indicio de este troyano en en ninguna otra app de Android. Sin embargo, destacó que no es la primera vez que dicho malware está disponible en Google Play.
“Anteriormente publicamos nuestra investigación sobre una aplicación troyana de este tipo en 2019″.
ESET
Aunque, Google Play eliminó de su tienda a iRecorder, es importante tener en cuenta que la aplicación también se puede encontrar en mercados de Android alternativos y no oficiales.
