Lapplication iRecorder Screen Recorder, qui avait plus de 50 000 tlchargements sur Google Play, a enregistr secrtement laudio proximit toutes les 15 minutes et la envoy au dveloppeur de lapplication, selon un chercheur de la socit de scurit ESET. Lapplication, qui permettait aux utilisateurs denregistrer lcran de leur appareil Android, a t mise jour en septembre 2022 pour ajouter une nouvelle fonctionnalit : la possibilit dactiver distance le micro du tlphone et denregistrer le son, de se connecter un serveur contrl par lattaquant et denvoyer laudio et dautres fichiers sensibles stocks sur lappareil. Google a supprim lapplication de son magasin aprs avoir t inform par ESET.
Les chercheurs d’ESET ont dcouvert une application Android trojanise qui tait disponible sur le Google Play store avec plus de 50 000 installations. L’application, nomme iRecorder – Screen Recorder, a t initialement tlcharge sur le store sans fonctionnalit malveillante le 19 septembre 2021. Cependant, il semble que la fonctionnalit malveillante ait t implmente ultrieurement, trs probablement dans la version 1.3.8, qui a t mise disposition en aot 2022.
Il est rare qu’un dveloppeur tlcharge une application lgitime, attende prs d’un an, puis la mette jour avec un code malveillant. Le code malveillant qui a t ajout la version propre d’iRecorder est bas sur le RAT (cheval de Troie d’accs distance) open source AhMyth Android et a t personnalis pour devenir ce que ESET a appel AhRat.
En dehors de ce cas, nous n’avons dtect AhRat nulle part ailleurs dans la nature. Cependant, ce n’est pas la premire fois qu’un logiciel malveillant Android bas sur AhMyth est disponible sur Google Play ; nous avons dj publi nos recherches sur une telle application trojanise en 2019. l’poque, le logiciel espion, construit sur les fondations d’AhMyth, avait contourn deux reprises le processus de vrification des applications de Google, en tant qu’application malveillante fournissant un streaming radio.
Prsentation de l’application
Outre la fonctionnalit lgitime d’enregistrement d’cran, l’iRecorder malveillant peut enregistrer le son environnant partir du microphone de l’appareil et le tlcharger vers le serveur de commande et de contrle (C&C) de l’auteur de l’attaque. Il peut galement exfiltrer de l’appareil des fichiers dont les extensions reprsentent des pages web sauvegardes, des images, des fichiers audio, vido et documentaires, ainsi que des formats de fichiers utiliss pour compresser plusieurs fichiers.
Le comportement malveillant spcifique de l’application – exfiltration des enregistrements du microphone et vol de fichiers avec des extensions spcifiques – tend suggrer qu’elle fait partie d’une campagne d’espionnage. Cependant, ESET n’a pas t en mesure d’attribuer l’application un groupe malveillant particulier.
En tant que partenaire de Google App Defense Alliance, ESET a identifi la version la plus rcente de l’application comme tant malveillante et a rapidement partag ses conclusions avec Google. Suite cette alerte, l’application a t retire de Google Store.
Distribution de l’application
L’application iRecorder a t initialement publie sur le Google Play Store le 19 septembre 2021, offrant une fonctionnalit d’enregistrement d’cran ; ce moment-l, elle ne contenait pas de fonctionnalits malveillantes. Cependant, vers aot 2022, ESET a dtect que le dveloppeur de l’application avait inclus des fonctionnalits malveillantes dans la version 1.3.8. Comme le montre la figure ci-dessous, en mars 2023, l’application avait t installe plus de 50 000 fois.
Toutefois, les utilisateurs d’Android qui ont install une version antrieure d’iRecorder (avant la version 1.3.8), dpourvue de toute fonction malveillante, auraient expos sans le savoir leur appareil AhRat s’ils avaient ensuite mis jour l’application manuellement ou automatiquement, mme sans accorder d’autres autorisations.
la suite du signalement concernant le comportement malveillant d’iRecorder, l’quipe de scurit de Google Play l’a retire de la boutique. Toutefois, il est important de noter que l’application peut galement tre trouve sur des marchs Android alternatifs et non officiels. Le dveloppeur d’iRecorder propose galement d’autres applications sur Google Play, mais elles ne contiennent pas de code malveillant.
Attribution
Auparavant, l’application open source AhMyth tait utilise par Transparent Tribe, galement connu sous le nom d’APT36, un groupe de cyberespionnage connu pour son utilisation intensive des techniques d’ingnierie sociale et pour avoir cibl des organisations gouvernementales et militaires en Asie du Sud. Nanmoins, nous ne pouvons pas attribuer les chantillons actuels un groupe spcifique, et rien n’indique qu’ils ont t produits par un groupe connu de menaces persistantes avances (APT).
Au cours de lanalyse effectue par ESET, les spcialistes en cyberscurit ont identifi deux versions de codes malveillants bass sur AhMyth RAT. La premire version malveillante d’iRecorder contenait des parties du code malveillant d’AhMyth RAT, copies sans aucune modification. La seconde version malveillante, baptise AhRat, tait galement disponible sur Google Play, et son code AhMyth tait personnalis, y compris le code et la communication entre le serveur C&C et la porte drobe.
AhMyth RAT est un outil puissant, capable d’excuter diverses fonctions malveillantes, notamment l’exfiltration des journaux d’appels, des contacts et des messages texte, l’obtention d’une liste de fichiers sur l’appareil, le suivi de l’emplacement de l’appareil, l’envoi de messages SMS, l’enregistrement audio et la prise de photos. Cependant, ESET a observ qu’un ensemble limit de fonctions malveillantes drives du RAT AhMyth original dans les deux versions analyses.
Ces fonctionnalits semblaient s’inscrire dans le modle de permissions dj dfini de l’application, qui permet d’accder aux fichiers de l’appareil et d’enregistrer des donnes audio. Notamment, l’application malveillante offrait une fonctionnalit d’enregistrement vido, et l’on s’attendait donc ce qu’elle demande l’autorisation d’enregistrer du son et de le stocker sur l’appareil, comme le montre la figure ci-dessous. Lors de l’installation de l’application malveillante, celle-ci s’est comporte comme une application standard sans aucune demande d’autorisation supplmentaire spciale qui aurait pu rvler ses intentions malveillantes.
La recherche sur AhRat est un bon exemple de la faon dont une application initialement lgitime peut se transformer en une application malveillante, mme aprs de nombreux mois, espionnant ses utilisateurs et compromettant leur vie prive. Il est possible que le dveloppeur de l’application ait eu l’intention de constituer une base d’utilisateurs avant de compromettre leurs appareils Android par le biais d’une mise jour ou qu’un acteur malveillant ait introduit ce changement dans l’application.
Heureusement, des mesures prventives contre de telles actions malveillantes ont dj t mises en uvre dans Android 11 et les versions ultrieures sous la forme de l’hibernation des applications. Cette fonction met en hibernation les applications qui sont restes inactives pendant plusieurs mois, rinitialisant ainsi leurs autorisations d’excution et empchant les applications malveillantes de fonctionner comme prvu.
L’AhRat tlcommand est une personnalisation du RAT open source AhMyth, ce qui signifie que les auteurs de l’application malveillante ont investi des efforts considrables dans la comprhension du code de l’application et du back-end, pour finalement l’adapter leurs propres besoins. Le comportement malveillant d’AhRat, qui comprend l’enregistrement audio l’aide du microphone de l’appareil et le vol de fichiers avec des extensions spcifiques, pourrait indiquer qu’il fait partie d’une campagne d’espionnage.
Source : ESET
Et vous ?
Quel est votre avis sur le sujet ?
Google peut-elle tre tenue pour responsable pour n’avoir pas empch que des applications lgitimes soient transformes en applications malveillantes sur son store ?
Comment les utilisateurs peuvent-ils se protger contre ce genre de menaces ?
Voir aussi :