Una popular aplicación de Android comenzó a espiar en secreto a sus usuarios meses después de aparecer en Google Play

Créditos de la imagen: Bryce Durbin / Tech Crunch

Una firma de seguridad cibernética afirma que una popular aplicación de grabación de pantalla de Android que ha acumulado decenas de miles de descargas en la tienda de aplicaciones de Google comenzó a espiar a sus usuarios, incluido el robo de micrófonos y grabaciones de video y otros documentos en el teléfono del usuario.

La investigación de ESET reveló que la aplicación de Android, «iRecorder – Screen Recorder», introdujo el código malicioso como una actualización de la aplicación casi un año después de que apareciera por primera vez en Google Play. El código, según ESET, permitía que la aplicación descargara sigilosamente un minuto de audio ambiental desde el micrófono del dispositivo cada 15 minutos, así como filtrar documentos, páginas web y archivos multimedia del teléfono del usuario.

la aplicación es ya no está en la lista en Google Play. Si instaló la aplicación, debe eliminarla de su dispositivo. Cuando la aplicación maliciosa se eliminó de la App Store, había acumulado más de 50 000 descargas.

ESET llama al código malicioso AhRat, una versión personalizada de un troyano de acceso remoto de código abierto llamado AhMyth. Los troyanos de acceso remoto (o RAT) aprovechan el amplio acceso al dispositivo de la víctima y, a menudo, pueden incluir control remoto, pero también funcionan de manera similar al spyware y al software de acoso.

Una captura de pantalla de iRecorder incluida en Google Play almacenada en caché en Internet Archive en 2022. Créditos de la imagen: TechCrunch (captura de pantalla)

Lukas Stefanko, investigador de seguridad de ESET que descubrió el malware, dijo en una publicación de blog que la aplicación iRecorder no contenía ninguna funcionalidad maliciosa cuando se lanzó en septiembre de 2021.

Después de que el código malicioso AhRat se envió como una actualización de la aplicación a los usuarios existentes (y a los nuevos usuarios que descargan la aplicación directamente desde Google Play), la aplicación comenzó a acceder sigilosamente al micrófono del usuario y a cargar los datos del teléfono del usuario en un servidor controlado por el programa malicioso operador. Stefanko dijo que la grabación de audio «encaja en el modelo de permisos de la aplicación ya definido», dado que la aplicación fue inherentemente diseñada para capturar grabaciones de pantalla del dispositivo y solicitaría tener acceso al micrófono del dispositivo.

No está claro quién plantó el código malicioso, ya sea el desarrollador u otra persona, o por qué razón. TechCrunch envió un correo electrónico a la dirección de correo electrónico del desarrollador que estaba en la lista de la aplicación antes de que fuera eliminada, pero aún no ha recibido una respuesta.

Stefanko dijo que el código malicioso probablemente era parte de una campaña de espionaje más grande, donde los piratas informáticos trabajan para recopilar información sobre los objetivos que eligen, a veces en nombre de los gobiernos o por razones financieras. Dijo que era «raro que un desarrollador descargara una aplicación legítima, esperara casi un año y luego la actualizara con un código malicioso».

No es raro que las malas aplicaciones se filtren en las tiendas de aplicaciones, ni es la primera vez que AhMyth tiene hizo su camino en Google Play. Google y Apple analizan las aplicaciones en busca de malware antes de enumerarlas para su descarga y, a veces, actúan de manera proactiva para extraer aplicaciones cuando podrían poner en riesgo a los usuarios. El año pasado Google ha dicho impidió que más de 1,4 millones de aplicaciones que invadían la privacidad ingresaran a Google Play.