網路安全公司 ESET 的惡意軟體研究員發現，一款曾在 Google Play 累計下載超過 5 萬次的 Android App，以每 15 分鐘的週期偷偷錄下用戶附近的聲音，並回傳到開發者的伺服器，已經遭到下架處置。

名為「iRecorder – Screen Recorder」的螢幕錄影 App，在 2021 年 9 月上架至 Google Play，最初並沒有任何有害功能，但在 2022 年 8 月更新後帶有惡意程式碼，暗中以 15 分鐘週期錄下 1 分鐘的音訊，並透過加密連結將錄音資料回發到開發者的伺服器，整起事件記錄在 ESET 研究員 Lukas Stefanko 的部落格文章中。

discovered a trojanized Android app that had been available on the Google Play store with over 50,000 installs. We named this malware AhRat, as it is based on the open-source Android RAT. 1/5

— ESET Research (@ESETresearch)

▲ ESET 分享 iRecorder App 的案例。

Lukas Stefanko 指出，iRecorder App 2022 年 8 月進行更新，包含開源的 AhMyth Android RAT（remote access trojan，遠端存取木馬）惡意程式碼，ESET 內部將這部分稱為 AhRat。當 App 從 Google Play 下架時，已經累積過 5 萬次下載。他也補充，建立在 AhMyth 基礎上的間諜軟體曾兩次躲過 Google Play 的 App 審核過程。

帶有詐騙意圖或惡意攻擊的 App 躲過審核，上架到 Google Play 或 App Store 時有所聞，然而 iRecorder App 手法突顯棘手問題：App 在用戶使用一段時間後轉成帶有惡意意圖，以用戶一開始授予 App 的權限，透過如裝置麥克風收集敏感資料並回傳給開發者，用戶卻完全不知情。更值得注意的是，iRecorder App 是否被推薦給特定身分的用戶，並涉及間諜活動，目前沒有更多證據加以證明。

▲ 曾上架 Google Play 的 iRecorder App。（Source：）

iRecorder App 已經消失，用戶該如何阻止類似做法的其他 App？方法恐怕不多。至少 Google Play 正進行更新，未來透過每月通知，告訴用戶哪些 App 改變了收集與分享資料的方式，前提是用戶需要主動關心這些變化，才有機會發現異狀。

（首圖來源：）