網路安全公司 ESET 的惡意軟體研究員發現,一款曾在 Google Play 累計下載超過 5 萬次的 Android App,以每 15 分鐘的週期偷偷錄下用戶附近的聲音,並回傳到開發者的伺服器,已經遭到下架處置。
名為「iRecorder – Screen Recorder」的螢幕錄影 App,在 2021 年 9 月上架至 Google Play,最初並沒有任何有害功能,但在 2022 年 8 月更新後帶有惡意程式碼,暗中以 15 分鐘週期錄下 1 分鐘的音訊,並透過加密連結將錄音資料回發到開發者的伺服器,整起事件記錄在 ESET 研究員 Lukas Stefanko 的部落格文章中。
discovered a trojanized Android app that had been available on the Google Play store with over 50,000 installs. We named this malware AhRat, as it is based on the open-source Android RAT. 1/5
— ESET Research (@ESETresearch)
▲ ESET 分享 iRecorder App 的案例。
Lukas Stefanko 指出,iRecorder App 2022 年 8 月進行更新,包含開源的 AhMyth Android RAT(remote access trojan,遠端存取木馬)惡意程式碼,ESET 內部將這部分稱為 AhRat。當 App 從 Google Play 下架時,已經累積過 5 萬次下載。他也補充,建立在 AhMyth 基礎上的間諜軟體曾兩次躲過 Google Play 的 App 審核過程。
帶有詐騙意圖或惡意攻擊的 App 躲過審核,上架到 Google Play 或 App Store 時有所聞,然而 iRecorder App 手法突顯棘手問題:App 在用戶使用一段時間後轉成帶有惡意意圖,以用戶一開始授予 App 的權限,透過如裝置麥克風收集敏感資料並回傳給開發者,用戶卻完全不知情。更值得注意的是,iRecorder App 是否被推薦給特定身分的用戶,並涉及間諜活動,目前沒有更多證據加以證明。
▲ 曾上架 Google Play 的 iRecorder App。(Source:)
iRecorder App 已經消失,用戶該如何阻止類似做法的其他 App?方法恐怕不多。至少 Google Play 正進行更新,未來透過每月通知,告訴用戶哪些 App 改變了收集與分享資料的方式,前提是用戶需要主動關心這些變化,才有機會發現異狀。
(首圖來源:)
標題:App 上架一年後變竊聽軟體,祕密錄音回傳雲端
地址:https://www.utechfun.com/post/217941.html