Se hai quest’app dovresti eliminarla subito: spia le tue conversazioni
Magari l'abbiamo anche scaricata quella volta che dovevamo registrare lo schermo dello smartphone. L'app in questione si chiama iRecorder-Screen Recorder, e secondo una ricerca del gruppo ESET, spia gli utenti. Migliaia di utenti Android l'hanno scaricata dallo store di Google ignari che l'app fosse in grado di ascoltare o registrare ogni parola o rumore. Gli esperti di ESET hanno spiegato che i responsabili non sono ancora stati individuati, molto probabilmente sono un gruppo di hacker che rivende le informazioni o a enti governativi o sul darkweb. L'app iRecorder-Screen Recorder ora però non appare più in elenco. Chiunque ce l'abbia sul proprio smartphone già installata dovrà invece eliminarla manualmente.
ESET ha chiamato il codice AhRat, una versione personalizzata di un trojan di accesso remoto open source chiamato AhMyth. I trojan di accesso remoto sfruttano l' accesso al dispositivo di una vittima e funzionano in modo simile a uno spyware e stalkerware. Quindi si nasconde sui dispositivi, monitora le attività dell'utente e sottrae informazioni sensibili. A scoprire il malware è stato il ricercatore di ESET Lukas Stefanko. In un post sul blog ha spiegato che l'app iRecorder quando è stata lanciata a settembre 2021 non aveva nessuna funzionalità pericolosa. Sembra infatti che il codice AhRat si stato inviato attraverso un aggiornamento, da quel momento l'app è stata in grado di accedere al microfono dell'utente e caricare i dati che ascoltava su un server controllato dal malware. "Verso agosto 2022 abbiamo rilevato che lo sviluppatore dell'app includeva funzionalità dannose nella versione 1.3.8. A marzo 2023 l'app aveva accumulato oltre 50.000 installazioni".
L'app che registra le conversazioni degli utenti
Quando gli utenti scaricano l'app in realtà acconsentono alla registrazione audio, fa parte delle autorizzazioni predefinite dato che lo scopo di iRecorder è appunto acquisire lo schermo di uno smartphone. Non è ancora stato individuato un responsabile, secondo Stefanko dietro al codice c0p una compagnia di spionaggio, hacker che lavorano per raccogliere dati. Il ricercatore ha anche spiegato che potrebbero farlo sia per enti governativi sua per rivendere le informazioni sul darkweb. In generale ha aggiunto, come riporta la testata TechCrunch: "È raro per uno sviluppatore caricare un'app legittima, attendere quasi un anno e poi aggiornarla con codice dannoso".
Di solito però gli store digitali dovrebbero riconoscere e bloccare le app dannose per gli utenti. Nel 2022 Google ha detto di aver impedito l'accesso a 1,4 milioni di app che violavano la privacy degli utenti. "Non è la prima volta che il malware Android basato su AhMyth è disponibile su Google Pla,; in precedenza avevamo pubblicato la nostra ricerca su un'app così nel 2019. Allora, lo spyware, costruito sulle fondamenta di AhMyth, ha eluso due volte il processo di controllo delle app di Google, come un'app dannosa che fornisce streaming radio", ha spiegato Stefanko.
