Приложение для записи экрана из Google Play шпионит за пользователями

Специалисты компании ESET обнаружили в Google Play шпионский троян AhRat, установленный на 50 тысяч устройств. Вредоносное ПО проникло в официальный магазин во время обновления в августе 2022 год.

Спустя год после появления в Google Play приложения «iRecorder — Screen Recorder», разработчики заразили его трояном AhRat, который обладает функциями шпионского ПО. Приложение для записи видео по умолчанию запрашивало доступ к микрофону и камере, что не вызывало сомнений, но использовалось встроенным шпионом.

Кроме записи аудио и видео, троян также мог отслеживать местоположение пользователей, красть данные из журанала вызовов и сообщений, а также отправлять сообщения. Известно, что шпионское ПО AhRat использует те же технологии, что и группировка APT36, которая следила за военными и правительственными организациями.

Тем не менее, мы не можем приписать текущий образец AhMyth какой-либо конкретной группировке злоумышленников.

Лукас Стефанко, исследователь ESET

Приложения, содержащие вредоносное ПО, регулярно попадают в Google Play, поэтому важно обращаться внимание на косвенные признаки заражения: быстрый разряд батареи, индикатор камеры и прочие. На данный момент iRecorder удалён из магазина, но троян может перекочевать в другие похожие приложения.