Si vous avez téléchargé l'application iRecorder sur Android, il faut la désinstaller
Les chercheurs d'ESET ont découvert une application Android nommée iRecorder - Screen Recorder contenant un cheval de Troie. Elle était disponible sur Google Play en tant qu'application légitime en septembre 2021, et la fonctionnalité malveillante a été vraisemblablement ajoutée en août 2022.
Au cours de son existence, l'application a été installée sur plus de 50 000 appareils. Le code malveillant ajouté à la version propre d'iRecorder est basé sur le cheval de Troie d'accès à distance open source AhMyth Android, et a été personnalisé pour devenir ce qu'ESET a appelé AhRat. L'application malveillante est capable d'enregistrer des données audio à l'aide du microphone de l'appareil et voler des fichiers, ce qui laisse penser qu'elle pourrait faire partie d'une campagne d'espionnage.
Outre dans Google Play Store, ESET Research n'a détecté AhRat nulle part ailleurs. Cependant, ce n'est pas la première fois que des malwares Android basés sur AhMyth sont disponibles dans l'app store officiel. ESET a déjà publié des études sur une telle application en 2019. À l'époque, le logiciel espion développé sur les fondations d'AhMyth, avait contourné à deux reprises le processus de vérification des applications de Google, sous la forme d'une application malveillante permettant d'écouter la radio en streaming. L'application iRecorder est également disponible sur des marchés Android alternatifs et non officiels, et le développeur fournit également d'autres applications sur Google Play, mais elles ne contiennent pas de code malveillant.
AhRat est une adaptation du cheval de Troie d'accès à distance open source AhMyth, ce qui signifie que les auteurs de l'application malveillante ont investi des efforts considérables dans la compréhension du code de l'application et du back-end, pour finalement l'adapter à leurs propres besoins.
Outre la fonction légitime d'enregistrement d'écran, la version malveillante d'iRecorder est capable d'enregistrer le son environnant du microphone de l'appareil et le transmettre au serveur de commande et de contrôle de l'attaquant. Elle peut également exfiltrer de l'appareil des fichiers dont les extensions représentent des pages web sauvegardées, des images, des fichiers audio et vidéo, des documents, ainsi que des formats de fichiers utilisés pour compresser plusieurs fichiers.
Les utilisateurs d'Android qui ont installé une version antérieure d'iRecorder (avant la version 1.3.8), dépourvue de toute fonction malveillante, auraient exposé sans le savoir leur appareil à AhRat s'ils avaient ensuite mis à jour l'application manuellement ou automatiquement, même sans accorder d'autres autorisations.