Apesar de o iRecorder – Screen Recorder, aplicativo Android de gravação de tela com mais de 50 mil instalações, ter sido lançado em setembro de 2021 como um aplicativo legítimo, ele agora contém um novo trojan de acesso remoto (RAT) baseado no AhMyth, conforme foi descoberto pela fornecedora de segurança cibernética ESET na terça-feira, 23. Ahmyth é um RAT de código aberto usado para acessar dados de dispositivos Android. Denominado pelos pesquisadores da ESET de AhRat, esse trojan pode exfiltrar arquivos com extensões específicas e gravações de microfone e carregá-los no servidor de comando e controle (C&C) do invasor. O código malicioso provavelmente foi adicionado quando o aplicativo foi atualizado para a versão 1.3.8, disponibilizada em agosto do ano passado.
Os pesquisadores da ESET observaram que, embora os aplicativos Android maliciosos sejam uma legião, adicionar código malicioso a um aplicativo legítimo é muito mais incomum. “O comportamento malicioso específico do aplicativo indica potencialmente seu envolvimento em uma campanha de espionagem”, diz o relatório da empresa.
Veja isso
Desenvolvedor de RAT é preso por infectar 10 mil PCs com malware
Trojan bancário que ataca Pix tem três novas variantes ativas
O AhMyth tem sido usado pelo grupo Transparent Tribe, também conhecido como APT36, uma gangue de espionagem cibernética conhecida por seu uso extensivo de técnicas de engenharia social e como alvo de organizações governamentais e militares no sul da Ásia. “No entanto, não podemos atribuir as amostras atuais a nenhum grupo específico e não há indícios de que tenham sido produzidas por um grupo conhecido de ameaça persistente avançada (APT)”, ressaltaram os pesquisadores no relatório.
A equipe de segurança do Google Play removeu o aplicativo de sua loja após ser notificada pela ESET, membro da Google App Defense Alliance. “No entanto, é importante observar que o aplicativo também pode ser encontrado em mercados Android alternativos e não oficiais. Além disso, o desenvolvedor do iRecorder também fornece outros aplicativos no Google Play, mas eles não contêm código malicioso.”