Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Una app de Android grabó audio de sus usuarios en secreto


Investigadores de ESET descubrieron una aplicación troyanizada para Android que había estado disponible en la tienda Google Play con más de 50,000 instalaciones. La aplicación, llamada iRecorder – Screen Recorder, se cargó inicialmente en la tienda sin funcionalidad maliciosa el 19 de septiembre de 2021. Sin embargo, parece que la funcionalidad maliciosa se implementó más tarde, muy probablemente en la versión 1.3.8, que estuvo disponible en agosto de 2022.

 


 

  • iRecorder – Screen Recorder grabó un minuto de audio cada 15 minutos, lo enviaba a sus servidores y lo hizo en total secreto. Google tardó un año en descubrirlo.

 iRecorder - Screen Recorder no siempre fue un caballo de troya. De hecho, durante casi un año a partir de su lanzamiento en septiembre de 2021, funcionó exactamente para lo que decía: grabar la pantalla de los móviles Android. No obstante, en una actualización once meses más tarde, Stefanko detecta la primera inserción de código malicioso. Desde entonces, ha estado grabando un minuto e audio cada 15 minutos y enviándolo a los servidores de los atacantes.


No es la primera vez que iRecorder - Screen Recorder se convierte en el blanco de los investigadores. El primer reporte de código malicioso se remonta a octubre de 2022, cuando Igor Golovin, analista de seguridad, detectó la presencia del troyano AhMyth dentro de la app. Desde entonces, habían logrado evitar su detección por parte de Google y la Play Store, e incluso lanzaron una última actualización en febrero de este mismo año.

Stefanko cree que esta es una demostración perfecta de cómo una app totalmente legítima puede convertirse en un ente malicioso. Por lo visto, el tiempo que lleva en el mercado es irrelevante. Cualquier desarrollador podría crear una buena base de usuarios con la aplicación instalada para posteriormente aprovecharse de ellos. Por supuesto, después de haber obtenido los permisos que le permitirán llevar a cabo su plan macabro.

Después de reportar el comportamiento malicioso de iRecorder, el equipo de seguridad de Google Play eliminó la app de la tienda. Sin embargo, es importante tener en cuenta que la aplicación también puede estar disponible en mercados de Android alternativos y no oficiales. El desarrollador de iRecorder también proporciona otras aplicaciones en Google Play, pero no contienen código malicioso.

 


De acuerdo a los comandos recibidos en la configuración del servidor C&C, AhRat debería ser capaz de ejecutar 18 comandos. Sin embargo, este RAT solo puede ejecutar los seis comandos marcados en negrita y con un asterisco de la siguiente lista:

  • RECORD_MIC*
  • CAPTURE_SCREEN
  • LOCATION
  • CALL_LOG
  • KEYLOG
  • NOTIFICATION
  • SMS
  • OTT
  • WIFI
  • APP_LIST
  • PERMISSION
  • CONTACT
  • FILE_LIST*
  • UPLOAD_FILE_AFTER_DATE*
  • LIMIT_UPLOAD_FILE_SIZE*
  • UPLOAD_FILE_TYPE*
  • UPLOAD_FILE_FOLDER*
  • SCHEDULE_INTERVAL

La implementación de la mayoría de estos comandos no está incluida en el código de la aplicación, pero la mayoría de sus nombres se explican por sí mismos.

 

Durante el análisis, AhRat recibió comandos para exfiltrar archivos con extensiones relacionadas a páginas web, imágenes, archivos de audio, video y documentos, y formatos de archivo utilizados para comprimir varios archivos. Las extensiones de archivo son las siguientes: zip, rar, jpg, jpeg, jpe, jif, jfif, jfi, png, mp3, mp4, mkv, 3gp, m4v, mov, avi, gif, webp, tiff, tif, heif, heic, bmp, dib, svg, ai, eps, pdf, doc, docx, html, htm, odt, pdf, xls, xlsx, ods, ppt, pptx, and txt.


 

Estos archivos estaban limitados a un tamaño de 20 MB y estaban ubicados en el directorio de descargas /storage/emulated/0/Download.

50.000 víctimas potenciales

Retirada ya de la tienda Android, si hacemos una búsqueda por esa palabra, iRecorder, salen varios resultados, pero ninguna iRecorder Screen Recorder. Si por el motivo que sea la tuvieseis instalada y de la desarrolladora Coffeeholic Dev, borradla en el acto.

 

 Fuentes:
https://www.welivesecurity.com/la-es/2023/05/23/aplicacion-grabar-pantalla-google-play-convierte-maliciosa-actualizacion/

https://hipertextual.com/2023/05/irecorder-screen-recorder-grabo-audio-en-secreto-app-android


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.