Новости В Google Play обнаружен шпионский троян AhRat, спрятанный в приложении для записи экрана

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Свыше 50 тысяч загрузок и почти год вредоносной активности, не стали ли вы одной из жертв злоумышленников?


6nezkx0wlrpxrrmt8by2h1cpod68ra00.jpg


Специалисты по кибербезопасности компании ESET Для просмотра ссылки Войди или Зарегистрируйся новый шпионский троян ( RAT ) в Google Play , который скрывался в приложении для записи экрана Android с десятками тысяч установок.

Приложение под названием «iRecorder — Screen Recorder» появилось в магазине в сентябре 2021 года, но вероятно было заражено через злонамеренное обновление, выпущенное почти через год после первоначальной публикации, в августе 2022 года. На момент обнаружения приложения специалистами и удаления из Google Play, оно имело свыше 50 тысяч установок.


k7elqlp4gvdbyr88ksflauw8hokv0u1r.png


Скриншот заражённого приложения

Название и назначение приложения позволяло без подозрений запрашивать у пользователей разрешение на запись звука и доступ к файлам, так как это соответствовало ожидаемым возможностям инструмента для записи экрана.

Вредоносное ПО, которое ESET назвал AhRat, основано на открытом исходном коде Android RAT, известном как AhMyth. Он имеет широкий спектр возможностей, включая, но не ограничиваясь: отслеживанием местоположения зараженных устройств, кражей журналов звонков, контактов и текстовых сообщений, отправкой SMS-сообщений, съёмкой фотографий и записью фонового звука.

При более тщательном изучении специалисты ESET обнаружили, что вредоносное приложение само по себе использовало только часть возможностей RAT, так как оно использовалось только для создания и выведения записей окружающего звука и кражи файлов с определенными расширениями, что указывает на потенциальную шпионскую деятельность.

Это далеко не первый случай проникновения вредоносного ПО на основе AhMyth в Google Play. Исследователи ESET ещё в 2019 году Для просмотра ссылки Войди или Зарегистрируйся о другом зараженном AhMyth приложении, которое дважды обманывало процесс проверки приложений Google, чтобы замаскироваться под приложение для потокового радио.

«Ранее открытый исходный код AhMyth использовался хакерами Transparent Tribe, также известными как APT36 — кибершпионской группой, известной своим широким использованием методов социальной инженерии и направленной на правительственные и военные организации в Южной Азии. Тем не менее, мы не можем приписать текущий образец AhMyth какой-либо конкретной группировке злоумышленников», — заявил Лукас Стефанко, исследователь ESET.
 
Источник новости
www.securitylab.ru

Похожие темы