iRecorder–ScreenRecorder是一款合法的Android应用程序,可从GooglePlay商店下载。它的用途从名字就很明显了。直到2022年8月,这就是它所做的一切:让您录制屏幕。但是更新赋予了iRecorder将其变成间谍工具的能力。iRecorder能够使用麦克风每15分钟捕获一次音频数据。它还允许创建者从手机下载某些类型的文件。
在ESET研究人员发现其恶意软件功能后,谷歌从Play商店中删除了该应用程序。但您可能仍将其安装在您的Android手机和/或平板电脑上。因此,您应该尽快删除它。
该应用程序令人费解的是开发人员的行为。ESET研究人员在一篇博客文章中写道:“开发人员很少会上传合法应用程序,等待将近一年,然后用恶意代码对其进行更新。”
开发人员于2021年9月发布了iRecorder。启用恶意软件的更新于次年8月发布,逃过了GooglePlayStore的安全检查。ESET表示,2022年8月的更新基于“开源AhMythAndroidRAT(远程访问木马),并已定制为我们命名为AhRat的东西。”
更新后,iRecorder保持了原有的功能。但它也有能力从麦克风记录周围的音频并将文件发送到命令和控制服务器。该应用程序还会查找各种类型的文件,然后将这些文件上传到服务器。该列表包括保存的网页、图像、音频、视频和文档。
“该应用程序的特定恶意行为——泄露麦克风录音和窃取带有特定扩展名的文件——往往表明它是间谍活动的一部分,”研究人员说。“但是,我们无法将该应用程序归因于任何特定的恶意组织。”此外,ESET团队表示尚未在其他任何地方检测到AhRat。
8月的更新仅实现了一组潜在的间谍功能。就像提取录音和其他文件一样。但研究人员观察到其他恶意功能并未启用。
iRecorder在Play商店的下载量只有50,000次。目前还不清楚它的一个或多个目标可能是谁。
ESET指出了Android11中的一项保护功能,之后可能会阻止该应用程序监视您。应用程序休眠将休眠的应用程序置于休眠状态,重置权限并防止恶意应用程序运行。但是,应用程序必须处于非活动状态数月才能启动保护措施。
无论如何,谷歌删除了恶意软件应用程序以及开发人员CoffeeholicDev上传到Play商店的所有应用程序。在他们所有的应用程序中,只有iRecorder具有恶意功能。
如果您仍然安装了iRecorder,则应立即将其从您的设备中删除。即使它是去年8月的1.3.8版本之前的版本,它悄悄启用了间谍功能。
如果您想发现该应用程序是否窃取了您的敏感数据,您可能需要聘请安全专家来完成这项工作。如果您认为自己可能成为攻击目标,请务必阅读ESET的报告。