Előfordul, hogy különböző okok miatt rögzíteni kell az okostelefon képernyőjét, ezért használunk olyan alkalmazásokat, amelyek rögzíthetik a mobilon történteket. Az egyik ilyen képernyőrögzítő alkalmazást trójai faló fertőzte meg, és a Google eltávolította a Play Áruházból. A cég figyelmeztetett a rosszindulatú alkalmazásra
Ez egy képernyőrögzítő alkalmazás iRecorder – Képernyőrögzítő. Több mint 50 000 Android-felhasználó telepítette ezt az alkalmazást. 2021-ben fejlesztették ki, és egy évvel később láthatóan rosszindulatú kóddal fertőzték meg. A frissítés után az alkalmazás könnyen nyomon követheti a felhasználókat. „A rosszindulatú alkalmazás hangot rögzíthet az eszköz mikrofonján keresztül, és fájlokat lophat el, ami arra utal, hogy egy kémkampány része lehet” – mondták az ESET kutatói.
A Play Áruház eltávolította az alkalmazást, de azoknak, akiknek már van a telefonjukon, manuálisan kell eltávolítaniuk.
Fotó: WeLiveSecurity
Az alkalmazás az első indításkor minden biztonsági teszten átment. Később azonban egy frissítés után megfertőzték az AhRat kártevővel. Így az iRecorder alkalmazás rögzítheti a környező hangot az eszköz mikrofonján keresztül, és feltöltheti azt a támadó vezérlőszerverére. Ellophatja a mentett weboldalakat, képeket, hangot, videót, dokumentumfájlokat és több fájl tömörítésére használt formátumú fájlokat is.
„Az AhRat eset jó példa arra, hogy egy kezdetben legális alkalmazás rosszindulatúvá válhat még néhány hónap elteltével is, amikor kémkedni kezd a felhasználók után, és megsérti a magánéletüket.” – magyarázza Lukáš Štefanko, az ESET kutatója, aki felfedezte és elemezte ezt a fenyegetést.
Miután rosszindulatú kártevőt észleltek az iRecorderben, a Google azonnali lépéseket tett annak eltávolítására, hogy megvédje a felhasználók adatait. De azok a felhasználók, akik az iRecorder ártalmatlan korábbi verzióit (az 1.3.8-as verzió előtt) telepítették, tudtukon kívül kitették eszközeiket az AhRat rosszindulatú programnak. Csak manuálisan vagy automatikusan kellett frissítenie az alkalmazást. Még csak további engedélyeket sem kellett megadniuk az alkalmazásnak.
„Szerencsére az Android 11 és újabb verzióiban már alkalmaztak megelőző intézkedéseket az ilyen rosszindulatú műveletek ellen az alkalmazások hibernálása formájában. Ez a funkció hatékonyan hibernálja a hónapok óta tétlen alkalmazásokat, visszaállítja futásidejű engedélyeiket, és megakadályozza, hogy a rosszindulatú alkalmazások a támadók szándéka szerint működjenek.” – fejezi be Štefanko.