Un’app scaricata da decine di migliaia di utenti ha registrato conversazioni e preso il controllo dei dispositivi su cui era installata
Gli smartphone possono realmente registrarci a nostra insaputa? Questo timore ha toccato tutti noi almeno una volta, soprattutto quando, casualmente, ci appaiono pubblicità di cose di cui avevamo parlato poco prima.
Ebbene, sembra essere arrivata la prova che le nostre paure non erano del tutto infondate.
Un’app spia
Una società di cybersicurezza afferma che una popolare applicazione per la registrazione dello schermo di Android, che ha accumulato decine di migliaia di download sull’app store di Google, ha successivamente iniziato a spiare i suoi utenti, anche rubando le registrazioni del microfono e altri documenti dal telefono dell’utente.
Una ricerca condotta da ESET ha rilevato che l’app per Android, “iRecorder – Screen Recorder”, ha introdotto il codice dannoso come aggiornamento dell’app quasi un anno dopo essere stata inserita per la prima volta nell’elenco di Google Play. Secondo ESET, il codice consentiva all’applicazione di caricare furtivamente un minuto di audio ambientale dal microfono del dispositivo ogni 15 minuti, nonché di esfiltrare documenti, pagine web e file multimediali dal telefono dell’utente.
L’applicazione non è più presente nell’elenco di Google Play. Se avete installato l’applicazione, dovreste eliminarla dal vostro dispositivo. Quando l’app dannosa è stata ritirata dall’app store, aveva accumulato più di 50.000 download.
Un virus pericolosissimo
ESET chiama il codice maligno AhRat, una versione personalizzata di un trojan di accesso remoto open source chiamato AhMyth. I trojan di accesso remoto (o RAT) sfruttano un ampio accesso al dispositivo della vittima e possono spesso includere il controllo remoto, ma funzionano anche in modo simile a spyware e stalkerware.
Lukas Stefanko, un ricercatore di sicurezza di ESET che ha scoperto il malware, ha dichiarato in un post sul blog che l’app iRecorder non conteneva alcuna funzione dannosa quando è stata lanciata per la prima volta nel settembre 2021.
Una volta che il codice maligno AhRat è stato inviato come aggiornamento dell’app agli utenti esistenti (e ai nuovi utenti che avrebbero scaricato l’app direttamente da Google Play), l’app ha iniziato ad accedere furtivamente al microfono dell’utente e a caricare i dati del telefono dell’utente su un server controllato dall’operatore del malware. Stefanko ha affermato che la registrazione audio “rientrava nel modello di autorizzazioni già definito per le app”, dato che l’applicazione era per sua natura progettata per catturare le registrazioni dello schermo del dispositivo e chiedeva l’accesso al microfono del dispositivo.
Ma perché?
Non è chiaro chi abbia inserito il codice maligno – se lo sviluppatore o qualcun altro – o per quale motivo.
Stefanko ha detto che il codice maligno è probabilmente parte di una più ampia campagna di spionaggio, in cui gli hacker lavorano per raccogliere informazioni su obiettivi di loro scelta, a volte per conto di governi o per motivi economici. Ha detto che è “raro che uno sviluppatore carichi un’app legittima, aspetti quasi un anno e poi la aggiorni con del codice maligno”.
Non è raro che applicazioni dannose si infiltrino negli app store, né è la prima volta che AhMyth si insinua in Google Play. Sia Google che Apple controllano le app per verificare la presenza di malware prima di inserirle nell’elenco dei download, e a volte agiscono in modo proattivo per ritirare le app che potrebbero mettere a rischio gli utenti. L’anno scorso Google ha dichiarato di aver impedito a più di 1,4 milioni di app che violavano la privacy di raggiungere Google Play.