Un nuevo caso de una aplicación maliciosa fue detectado por ESET, empresa de ciberseguridad, en el que encontró cómo la plataforma duró un año prestando sus servicios de forma segura y luego empezó a ser maliciosa espiando a los usuarios.
iRecorder – Screen Recorder es el nombre de la app que estuvo disponible en Google Play Store, para celulares Android, operando de manera inofensiva, ofreciendo opciones para grabar la pantalla del teléfono y alcanzó más de 50.000 descargas.
La aplicación fue publicada en septiembre de 2021 y un año después, en agosto de 2022, recibió una actualización que la convirtió en maliciosa con el objetivo de robar archivos y grabar audio del dispositivo.
“Es raro que un desarrollador cargue una aplicación legítima, espere casi un año y luego la actualice con un código malicioso. El código malicioso que se agregó a la versión limpia de iRecorder se basa en el código abierto del RAT (troyano de acceso remoto) para Android”, aseguró Camilo Gutiérrez, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Cómo operaba esta aplicación
iRecorder cumplía con su propósito de grabar la pantalla y a pesar de tener una actualización maliciosa, siguió siendo funcional para el usuario. Pero al mismo tiempo grababa el audio al rededor del celular y lo cargaba servidor de comando y control del atacante.
El acceso al micrófono lo obtenía del permiso que el usuario le daba al momento instalar la aplicación, ya que una de sus funciones era grabar la pantalla con el audio incluido.
Además de esto, la plataforma tomaba archivos como páginas web guardadas, imágenes, archivos de audio, video y documentos para llevarlos al servidor.
Sin bien este tipo de comportamiento malicioso tiende a ser usado en campañas de espionaje, durante su investigación la empresa no encontró quién era el responsable de este ataque y el usuario que subió la aplicación a Play Store tiene otras aplicaciones en la tienda, pero todas son legítimas.
“Después de reportar el comportamiento malicioso de iRecorder, el equipo de seguridad de Google Play eliminó la app de la tienda. Sin embargo, es importante tener en cuenta que la aplicación también puede estar disponible en mercados de Android alternativos y no oficiales”, aseguró Gutiérrez.
AhMyth RAT, el malware utilizado para este caso, ha sido utilizado por Transparent Tribe, que también es conocido como APT36, y es un grupo de ciberespionaje con técnicas de ingeniería social que suele apuntar a organizaciones gubernamentales y militares en el sur de Asia.
Esta herramienta de ataque ofrece varias funciones maliciosas, incluida la extracción de registros de llamadas, contactos y mensajes de texto, también puede obtener la lista de archivos en el dispositivo, hacer seguimiento de la ubicación del dispositivo, enviar mensajes SMS, grabar audio y tomar de fotografías.
Sin embargo, para el ataque de esta aplicación, los ciberdelincuentes decidieron aprovechar los permisos obtenidos al momento de instalar la plataforma y no pedir nuevos accesos que llamaran la atención, por ese motivo se limitó a grabar el audio y robar archivos.
“Esta investigación sirve como un ejemplo de cómo una aplicación inicialmente legítima puede transformarse en una maliciosa, incluso después de muchos meses. Es posible que el desarrollador detrás de esta aplicación haya tenido la intención de crear una base de usuarios antes de comprometer sus dispositivos Android mediante una actualización o que haya sido un actor malicioso el que introdujo este cambio en la aplicación”, concluyó el experto.