ESET のセキュリティ研究者ルーカス ステファンコ氏は、 Google Play マルウェアのかなり特殊なケースを明らかにしました。それは、1 年後にユーザーを監視し始めた画面録画アプリケーションです。モバイルマイクからの音声を 15 分ごとに録音し、サーバーに送信しました。
このアプリケーションのダウンロード数は 50,000 件をわずかに超えましたが、興味深いのは、内部に悪意のあるコードを含むアップデートを受け取るまで、ほぼ 1 年間、マルウェアなしで正当に動作していたことです。 iRecorder と呼ばれるこのアプリケーションは Google Play には存在しませんが、その APK は引き続きさまざまなサードパーティ アプリケーション ページで配布されています。
画面の録画からユーザーの監視まで
悪意のあるアプリケーションは、Google の自動システムによる検出や新しいアプリケーションの潜在的な手動分析を回避するために、最初はその意図を隠すのが一般的ですが、常にアップデートよりもマルウェアが含まれる可能性が高いです。あまり一般的ではないのは、トロイの木馬の展開に非常に長い時間がかかることです (ほぼ 1 年)。
それはまさに、開発者Coffeholic Devの Android 用画面録画アプリ iRecorder で起こったことです。このアプリは 2021 年 9 月にリリースされましたが、バージョン 1.3.8 へのアップデートによって正式にトロイの木馬に変わったのは 2022 年 8 月になってからでした。その後、アプリは更新され続け、利用可能な最後のバージョンはストアから消え、バージョン 2.0 になりました。
iRecorder はトロイの木馬として、画面録画機能により事前にマイクへのアクセス許可があることを利用して、マイクの音声を 15 分ごとに録音し、サーバーに送信しました。含まれていたマルウェアは、Github で入手可能な AhMyth のオープンソース リモート アクセス コードに基づいていました。
Android 11 以降、オペレーティング システムは、頻繁に使用しないアプリケーションのアクセス許可を自動的に取り消すことができるため、最近アプリケーションを開いていないアプリケーションに対してスパイ機能が実行されるのを防ぐことができます。機密性の高いアクセス許可を使用し、それを悪用して他の目的に使用する理由があります。
マルウェア アプリケーションがこの種のスパイ行為を無差別に選択するのはやや奇妙であり、そのため、誰がそうであるかという証拠や確証は見つかっていませんが、特定のグループに対するスパイ活動に使用されていたのではないかと疑われています。位置情報、ファイル、SMS のスパイなど、このトロイの木馬のベースとなるすべての機能のうち、当初実装されていたのは音声録音のみでした。
良いニュースは、このアプリケーションが Google Play で利用できなくなったことです。ただし、このアプリケーションが数万回のダウンロードを達成し、マルウェアが組み込まれた状態で数か月間 Google Play で入手可能であったことは、私たちに苦い思いをさせます。あらゆるアプリケーション 今日信頼できるものでも、明日には信頼できなくなる可能性があり、Google の検出システムを回避します。
経由 | ザ・ヴァージ