Atualização pode ter transformado app de gravação de tela em uma ferramenta de espionagem
Comportamento malicioso começou quase um após o lançamento do app; especialistas apontaram que isso é fora do comum no ambiente
Um popular aplicativo chamado iRecorder – Screen Recorder passou a ser uma dor de cabeça para sua base de usuários. Isso porque a equipe de pesquisa da ESET descobriu que uma atualização recente implementou funcionalidades maliciosas no programa. Como consequência, o software foi removido do Google Play após os relatos da empresa de segurança digital.
Quando foi enviado para a plataforma do Google no dia 19 de setembro de 2021, o app não tinha nenhuma função de malware. Entretanto, a partir de agosto de 2022, a atualização que trouxe a versão 1.3.8 do software adicionou as funcionalidades maliciosas ao iRecorder – Screen Recorder, segundo a ESET.
Após se tornar um “aplicativo trojanizado”, como foi denominado pela companhia de segurança digital, o programa passou a ter um comportamento, “que envolve a extração de gravações de microfone e roubo de arquivos com extensões específicas”.
Trata-se de um gravador de tela para Android, mas que também consegue gravar áudio ambiente através do microfone. Além disso, ele pode extrair arquivos com extensões que representam páginas da web salvas, imagens, áudio, vídeo e documentos.
De acordo com os especialistas, isso indica potencialmente um envolvimento em uma campanha de espionagem.
O iRecorder – Screen Recorder tem mais de 50 mil downloads na plataforma do Google Play. Seu malware recebeu o nome de “AhRat”, já que tem o trojan de acesso remoto “AhMyth” como base.
Comportamento é fora do comum
Os especialistas do ESET afirmaram que é muito raro que um desenvolvedor disponibilize um software legítimo e esperar quase um ano para adicionar um código de malware nele.
Normalmente, os aplicativos já não demoram nada para receberem as funcionalidades maliciosas, apontando logo a intenção de quem os produziu. No entanto, o Google Play removeu recentemente diversos programas legítimos que receberam vírus diversos, que visavam a coleta de dados e fraudes.
Outro ponto que apresenta curiosidade é que a empresa de segurança digital afirmou não ter detectado o AhRat em nenhum outro software até o momento. Isso quer dizer que é possível que os golpistas tenham criado o código malicioso especificamente para esse app.
Contudo, os profissionais disseram que não conseguiram atribuir o vírus a nenhum grupo de criminosos específico. Por fim, a desenvolvedora do iRecorder – Screen Recorder oferece outros aplicativos, mas eles não trazem o código de malware.
