Sebuah perusahaan keamanan siber mengatakan aplikasi perekam layar Android populer yang mengumpulkan puluhan ribu unduhan di toko aplikasi Google kemudian mulai memata-matai penggunanya, termasuk dengan mencuri rekaman mikrofon dan dokumen lain dari ponsel pengguna.

Penelitian oleh ESET menemukan bahwa aplikasi Android, “iRecorder — Screen Recorder,” memperkenalkan kode berbahaya tersebut sebagai pembaruan aplikasi hampir setahun setelah pertama kali terdaftar di Google Play. Kode tersebut, menurut ESET, memungkinkan aplikasi untuk secara diam-diam mengunggah satu menit audio sekitar dari mikrofon perangkat setiap 15 menit, serta mengekstraksi dokumen, halaman web, dan file media dari ponsel pengguna.

Aplikasi tidak lagi tercantum di Google Play. Jika Anda telah menginstal aplikasi, Anda harus menghapusnya dari perangkat Anda. Pada saat aplikasi berbahaya ditarik dari app store, aplikasi tersebut telah diunduh lebih dari 50.000 kali.

ESET memanggil kode jahat AhRat, versi khusus dari trojan akses jarak jauh sumber terbuka yang disebut AhMyth. Trojan akses jarak jauh (atau RAT) memanfaatkan akses luas ke perangkat korban dan seringkali dapat mencakup kendali jarak jauh, tetapi juga berfungsi mirip dengan spyware dan stalkerware.

Tangkapan layar iRecorder terdaftar di Google Play seperti yang di-cache di Arsip Internet pada tahun 2022. Kredit Gambar: TechCrunch (tangkapan layar)

Lukas Stefanko, peneliti keamanan di ESET yang menemukan malware tersebut, mengatakan dalam postingan blog bahwa aplikasi iRecorder tidak berisi fitur berbahaya saat pertama kali diluncurkan pada September 2021.

Setelah kode AhRat berbahaya didorong sebagai pembaruan aplikasi ke pengguna yang sudah ada (dan pengguna baru yang akan mengunduh aplikasi langsung dari Google Play), aplikasi mulai secara diam-diam mengakses mikrofon pengguna dan mengunggah data ponsel pengguna ke server yang dikendalikan oleh malware. operator. Stefanko mengatakan bahwa rekaman audio “sesuai dengan model izin aplikasi yang sudah ditentukan,” mengingat bahwa aplikasi tersebut pada dasarnya dirancang untuk menangkap rekaman layar perangkat dan akan meminta untuk diberikan akses ke mikrofon perangkat.

Tidak jelas siapa yang menanam kode jahat tersebut — apakah pengembangnya atau oleh orang lain — atau untuk alasan apa. TechCrunch mengirim email ke alamat email pengembang yang ada di daftar aplikasi sebelum ditarik, tetapi belum mendapat kabar.

Stefanko mengatakan kode berbahaya kemungkinan merupakan bagian dari kampanye spionase yang lebih luas — di mana peretas bekerja untuk mengumpulkan informasi tentang target yang mereka pilih — terkadang atas nama pemerintah atau untuk alasan finansial. Dia mengatakan “jarang bagi pengembang untuk mengunggah aplikasi yang sah, menunggu hampir setahun, dan kemudian memperbaruinya dengan kode berbahaya.”

Bukan hal yang aneh jika aplikasi buruk masuk ke toko aplikasi, juga bukan pertama kalinya AhMyth masuk ke Google Play. Baik Google dan Apple menyaring aplikasi untuk malware sebelum mencantumkannya untuk diunduh, dan terkadang bertindak secara proaktif untuk menarik aplikasi saat dapat membahayakan pengguna. Tahun lalu, Google mengatakan telah mencegah lebih dari 1,4 juta aplikasi yang melanggar privasi mencapai Google Play.