Google がこのアプリの正体を暴くのに、ほぼ 1 年かかりました。このアプリは、悪意のあるコードを通じて、Android 携帯電話のマイクを使用して、同意なしに音声を録音し、サーバーに送信していました。その名前はiRecorder – Screen Recorderで、この脆弱性は、Lukas Stefanko が主導した調査中に ESET によって発見されました。
iRecorder – Screen Recorder は必ずしもトロイの木馬だったわけではありません。実際、2021 年 9 月の発売からほぼ 1 年間、Android スマートフォンの画面を録画するという、謳われていたとおりの機能を果たしていました。しかし、11 か月後のアップデートで、ステファンコは悪意のあるコードの最初の挿入を検出しました。それ以来、15 分ごとに 1 分間の音声を録音し、攻撃者のサーバーに送信しています。
iRecorder – Screen Recorder が研究者のターゲットになったのはこれが初めてではありません。悪意のあるコードの最初の報告は、セキュリティ アナリストの Igor Golovin がアプリ内にAhMythトロイの木馬の存在を検出した 2022 年 10 月に遡ります。それ以来、彼らは Google や Play ストアによる検出をなんとか回避し、今年 2 月には最新のアップデートもリリースしました。
ステファンコ氏は、これは完全に正規のアプリがどのように悪意のある存在に変化するかを示す完璧なデモンストレーションであると考えています。どうやら、市場に出回った時間は関係ないようです。どの開発者も、アプリケーションをインストールして優れたユーザー ベースを作成し、後でそれを活用することができます。もちろん、あなたの恐ろしい計画を実行するための許可を取得した後であります。
何万人もの Android ユーザーがこのアプリケーションの被害者になった可能性があります
ESETの調査では、iRecorderがデバイスの周囲の音声を録音し、15分ごとに攻撃者のサーバーにアップロードできることが確認されていますが、それだけではありません。さらに、さまざまな拡張子を持つファイルを携帯電話から直接アップロードすることもできます。保存されている Web ページから画像、さらにはビデオやさまざまなドキュメントまで。
彼らはどのようにしてこのような多面的な悪意のある存在を入手したのでしょうか?研究で説明されているように、このコードの動作は、Android 向けに特別に設計された RAT (リモート アクセス トロイの木馬) AhMyth に基づいています。さらに、開発者はマルウェアの独自バージョンをカスタマイズし、それを AhRAT と名付けました。
そのため、アプリにマイクやデバイス上のファイルへのアクセスを許可することは推奨されません。これは多くの人が知っています。だからこそ、画面録画専用の Android ソフトウェアは、注目を集めるのを避けるのに最適な隠れ蓑でした。したがって、一度インストールすると、開発者は追加の権限を要求することなく、悪意のあるコードを展開する可能性があります。
悪意のあるアプリがインストールされると、悪意のある意図を明らかにする可能性のある追加のアクセス許可を求める特別な要求を行わずに、標準アプリのように動作しました。
ルーカス・ステファンコ
この問題を少なくとも部分的に軽減するために、Google は、どのアプリがデータ共有に関して慣行を変更したか、また変更を開始した日付を毎月ユーザーに通知するアップデートに取り組んでいます。もちろん、彼らがそれを検出できる限り。
幸いなことに、Google はすでにiRecorder – Screen Recorder をAndroid アプリ ストアから削除しています。しかし、その時点で、当該アプリはすでに50,000 以上のダウンロードを蓄積していたため、このセキュリティ違反の規模は重要な影響を及ぼします。
それぞれの Android デバイスにアプリをインストールしたことがない人でも、心配する必要はありません。ただし、まだデバイスにインストールされている場合は、すぐに削除することをお勧めします。