اپلیکیشن اندرویدی محبوبی که بدافزار جاسوسی و ضبط صدا از آب درآمد!

به گزارش یکی از محققان شرکت امنیت سایبری ESET، اپلیکیشن اندرویدی iRecorder پس از سال‌ها فعالیت و با بیش از ۵۰ هزار دانلود از فروشگاه نرم‌افزار گوگل پلی به یک ابزار جاسوسی تبدیل شده که هر ۱۵ دقیقه یکبار بدون اجازه کاربر صدای اطراف گوشی را ضبط و برای توسعه‌دهندگان ارسال می‌کند.

لوکاس استفانکو (Lukas Stefanko)، یکی از محققان برجسته ESET در یک پست اینترنتی روز سه‌شنبه اعلام کرد که اپلیکیشن iRecorder Screen Recorder که در سپتامبر ۲۰۲۱ (شهریور ۱۴۰۰) در فروشگاه گوگل پلی به عنوان یک نرم‌افزار ضبط از صفحه‌نمایش گوشی کار خود را آغاز کرد، اکنون به اپلیکیشن جاسوسی تبدیل شده است.

در این پست توضیح داده شده که یازده ماه پس از آغاز فعالیت این اپلیکیشن، یک به‌روزرسانی مهم برای آن منتشر شده و قابلیت‌های جدیدی را در اختیار کاربران قرار داده است.

برخی از این قابلیت‌ها شامل روشن کردن میکروفن گوشی هوشمند و ضبط صدا از راه دور، اتصال به یک سرور تحت کنترل توسعه‌دهنده نرم‌افزار، آپلود بدون اجازه فایل‌های صوتی و سایر فایل‌های حساس ذخیره در گوشی بود.

ضبط مخفیانه صدا هر 15 دقیقه یک بار!

به گفته محققان ESET، توابع و دستورالعمل‌های مرتبط با جاسوسی از کاربر با استفاده از کد AhMyth انجام شده که یک تروجان دسترسی از راه دور (RAT) منبع باز است که تا به امروز در چندین اپلیکیشن اندرویدی دیگر نیز کشف شده است.

پس از اضافه شدن کد‌های RAT به این اپلیکیشن محبوب و کاربردی iRecorder، امکان ضبط صدای اطراف گوشی و ارسال آن از طریق یک کانال رمزگذاری شده به سرورهای از پیش تعیین شده توسط توسعه‌دهندگان به وجود آمده است.

بررسی نسخه‌های مختلف اپلیکیشن مذکور توسط محققان نشان می‌دهد که با گذشت زمان، کدهای گرفته شده از AhMyth به شدت اصلاح شده‌اند که نشان می‌دهد توسعه‌دهندگان با کارکرد کدهای RAT منبع باز آشناتر و ماهرتر شده‌اند. ESET این کدهای پیشرفته RAT که در iRecorder گنجانده شده‌اند را AhRat نام‌گذاری کرده است.

در پست منتشر شده توسط لوکاس استفانکو توضیح داده شده که این اپلیکیشن بارها و بارها در گوشی‌های مختلف نصب و مورد بررسی قرار گرفته و هر بار نتیجه یکسان بوده است، ضبط یک دقیقه صدا و ارسال آن به سرورهای فرمان و کنترل مهاجم.

گوگل پلی نیاز به افزایش سطح امنیت دارد

وجود بدافزارهای جاسوسی در اپلیکیشن‌های منتشر شده در فروشگاه گوگل پلی چیز جدیدی نیست. گوگل هرگز در رابطه با کشف بدافزار در فروشگاه نرم‌افزاری خود اظهار نظر نمی‌کند، بلکه تنها به تشکر از محققانی که آن را کشف کرده‌اند بسنده می‌کند.

در گزارش لوکاس استفانکو توضیح داده شده:

متأسفانه، ما هیچ مدرکی مبنی بر اینکه اپلیکیشن مذکور برای گروه خاصی طراحی و عرضه شده، در دسترس قرار ندارد. مشخص نیست که آیا گروه خاصی از افراد هدف قرار گرفته‌اند یا خیر؛ با این حال اپلیکیشن iRecorder هزاران گوشی هوشمند اندرویدی را آلوده و از قربانیان آن‌ها جاسوسی کرده است.