iRecorder, application légitime de Google Play devient malveillante et envoie des enregistrements de micro toutes les 15 minutes

duJambon

L’application, intitulée iRecorder Screen Recorder, a commencé sa vie sur Google Play en septembre 2021 en tant qu’application bénigne qui permettait aux utilisateurs d’enregistrer les écrans de leurs appareils Android, a déclaré le chercheur d’ESET Lukas Stefanko dans un article publié mardi . Onze mois plus tard, l’application légitime a été mise à jour pour ajouter de toutes nouvelles fonctionnalités. Il comprenait la possibilité d’allumer à distance le micro de l’appareil et d’enregistrer le son, de se connecter à un serveur contrôlé par l’attaquant et de télécharger l’audio et d’autres fichiers sensibles qui étaient stockés sur l’appareil.

Les fonctions d’espionnage secrètes ont été implémentées à l’aide du code d’ AhMyth , un RAT open source (cheval de Troie d’accès à distance) qui a été intégré à plusieurs autres applications Android ces dernières années. Une fois le RAT ajouté à iRecorder, tous les utilisateurs de l’application auparavant bénigne ont reçu des mises à jour qui permettaient à leurs téléphones d’enregistrer de l’audio à proximité et de l’envoyer à un serveur désigné par le développeur via un canal crypté. Au fil du temps, le code extrait d’AhMyth a été fortement modifié, ce qui indique que le développeur est devenu plus habile avec le RAT open source. ESET a nommé le RAT nouvellement modifié dans iRecorder AhRat.

Stefanko a installé l’application à plusieurs reprises sur les appareils de son laboratoire, et à chaque fois, le résultat était le même : l’application a reçu l’instruction d’enregistrer une minute d’audio et de l’envoyer au serveur de commande et de contrôle de l’attaquant, également connu familièrement dans le domaine de la sécurité. cercles comme C&C ou C2. À l’avenir, l’application recevrait la même instruction toutes les 15 minutes indéfiniment. Dans un courriel, il écrit :

Au cours de mon analyse, AhRat était activement capable d’exfiltrer des données et d’enregistrer un microphone (quelques fois, j’ai supprimé l’application et réinstallé, et l’application s’est toujours comportée de la même manière).

L’exfiltration de données est activée en fonction des commandes dans [un] fichier de configuration renvoyé par [le] C&C. Au cours de mon analyse, le fichier de configuration a toujours renvoyé la commande d’enregistrement audio, ce qui signifie qu’il a allumé le micro, capturé l’audio et l’a envoyé au C2.

Cela arrivait constamment dans mon cas, car c’était conditionnel aux commandes reçues dans le fichier de configuration. La configuration était reçue toutes les 15 minutes et la durée d’enregistrement était définie sur 1 minute. Pendant l’analyse, mon appareil a toujours reçu des commandes pour enregistrer et envoyer l’audio du micro à C2. Cela s’est produit 3-4 fois, puis j’ai arrêté le logiciel malveillant.

Les logiciels malveillants intégrés aux applications disponibles sur les serveurs Google ne sont pas nouveaux. Google ne fait aucun commentaire lorsque des logiciels malveillants sont découverts sur sa plate-forme, au-delà de remercier les chercheurs externes qui les ont trouvés et de dire que l’entreprise supprime les logiciels malveillants dès qu’elle en a connaissance. La société n’a jamais expliqué ce qui fait que ses propres chercheurs et son processus d’analyse automatisé manquent des applications malveillantes découvertes par des étrangers. Google a également hésité à informer activement les utilisateurs de Play une fois qu’il apprend qu’ils ont été infectés par des applications promues et mises à disposition par son propre service.

Ce qui est plus inhabituel dans ce cas, c’est la découverte d’une application malveillante qui enregistre activement une base aussi large de victimes et envoie leur audio aux attaquants. Stefanko a déclaré qu’il était possible qu’iRecord fasse partie d’une campagne d’espionnage active, mais jusqu’à présent, il n’a pas été en mesure de déterminer si c’est le cas.

Les RAT offrent aux attaquants une porte dérobée secrète sur les plates-formes infectées afin qu’ils puissent installer ou désinstaller des applications, voler des contacts, des messages ou des données utilisateur et surveiller les appareils en temps réel. AhRat n’est pas le premier RAT Android de ce type à utiliser le code open source d’AhMyth. En 2019, Stefanko a rapporté avoir trouvé un RAT mis en œuvre par AhMyth dans Radio Balouch, une application de radio en streaming entièrement fonctionnelle pour les passionnés de musique baloutche, originaire du sud-est de l’Iran. Cette application avait une base d’installation beaucoup plus petite de seulement plus de 100 utilisateurs de Google Play.

Aussi mitigé que soit le bilan de Google pour garder Play exempt de logiciels malveillants, Stefanko a souligné une amélioration récente. Une mesure préventive disponible dans les versions Android 11 et supérieures met en œuvre l’hibernation de l’application. La fonctionnalité met les applications qui ont été inactives dans un état d’hibernation qui supprime leurs autorisations d’exécution précédemment accordées. Il n’est pas clair si l’un des 50 000 appareils infectés a utilisé cette protection.

On sait peu de choses sur le “Coffeeholic Dev”, l’éditeur de l’application iRecorder dans Play. Stefanko a déclaré que les autres applications soumises par la même personne ou entité ne montraient aucun signe de malveillance. Au moment où le message ESET a été mis en ligne mardi, cependant, Google avait supprimé non seulement iRecorder, mais toutes les autres traces des offres de Coffeeholic Dev.

“La recherche AhRat est un bon exemple de la façon dont une application initialement légitime peut se transformer en une application malveillante, même après plusieurs mois, en espionnant ses utilisateurs et en compromettant leur vie privée”, a écrit Stefanko. "Bien qu’il soit possible que le développeur de l’application ait eu l’intention de constituer une base d’utilisateurs avant de compromettre ses appareils Android via une mise à jour ou qu’un acteur malveillant ait introduit ce changement dans l’application ; jusqu’à présent, nous n’avons aucune preuve pour l’une ou l’autre de ces hypothèses.

Source: https://arstechnica.com/information-technology/2023/05/app-with-50000-google-play-installs-sent-attackers-mic-recordings-every-15-minutes/

Violence

Si seulement c’était la seule.
Des apps comme celle-là, il y en a sur tout les stores existants. Ce n’est pas propre qu’à Google.

Ashura

on ne peut plus faire confiance a rien a part l’open source, rappelez-vous CCleaner qui a été infecter pendant une période

Violence

Android est distribué en open source sous licence Apache @Ashura

Ashura

@Violence Android oui, mais pas les apps

Snoubi

d’ailleurs il y a un topic sur les merdes que les appareil android on a la reception sur le forum

perso moi je vide l’historique via navigateur trop de blem avec mes appli et ccleaner