Dénommée iRecorder – Screen Recorder et affichant plus de 50 000 installations au compteur sur le Google Play Store, cette application Android y avait été initialement mise en ligne en septembre 2021, sans la présence d’une fonctionnalité malveillante.
Avec une version 1.3.8 disponible en août 2022, les choses ont changé et l’application légitime d’enregistrement d’écran a reçu l’ajout d’un code malveillant identifié comme AhRat par les chercheurs d’ESET. Une mise à jour malveillante environ un an après le lancement de l’application.
La durée particulièrement longue pour faire de l’application un outil d’une probable campagne d’espionnage est notable. L’objectif était l’extraction d’enregistrements de micros de l’appareil et le vol de fichiers avec des extensions spécifiques (pages web, images, audio, vidéo, documents, archives…).
Sur la base d’un RAT connu
Le code malveillant ajouté à la version non infectée de l’application iRecorder – Screen Recorder est basé sur le RAT (Remote Access Trojan) open source AhMyth pour Android. Par le passé, ce dernier a notamment été exploité par un groupe de cyberespionnage APT36 (ou Transparent Tribe) pour cibler des organisations gouvernementales et militaires en Asie du Sud.
» Nous ne pouvons toutefois pas attribuer les échantillons actuels de AhRat à un groupe en particulier et rien n’indique qu’ils ont été produits par un groupe connu de menace persistante avancée (APT) « , écrit le chercheur en malware Lukas Stefanko chez ESET.
ESET est membre de l’App Defense Alliance de Google. Après son signalement, l’application a été supprimée de Google Play, mais elle peut cependant être toujours présente sur des boutiques alternatives d’applications Android.
En attendant d’en savoir plus
Dans un billet de blog technique, ESET entre dans les détails sur les capacités en rapport avec AhRat et pour les indicateurs de compromission. La société de cybersécurité précise que depuis Android 11, des mesures préventives de protection ont été implémentées.
Le système d’exploitation mobile peut ainsi placer une application en état d’hibernation et en réinitialisant ses autorisations d’exécution si l’utilisateur n’a pas interagi avec elle depuis plusieurs mois.
ESET souligne en outre que le développeur de iRecorder – Screen Recorder propose d’autres applications sur Google Play qui ne contiennent pas de code malveillant. Sa page semble cependant avoir été supprimée. Un développeur lui-même piégé ou complice ?