MADRID, 23 May. (Portaltic/EP) -
Investigadores de ciberseguridad han descubierto un troyano en la aplicación para dispositivos Android iRecorder-Secreen Recorder, que era capaz de grabar audio utilizando el micrófono del dispositivo y robar distintos tipos de archivos guardados en él, lo que sugiere que el troyano formaba parte de una campaña de espionaje.
Así lo han explicado investigadores de la compañía de ciberseguridad ESET, quienes descubrieron la aplicación troyanizada iRecorder, que incluía un código malicioso que se añadió a la versión fiable de la 'app' en Google Play y que se basa en el troyano conocido como AhMyth Android RAT, de acceso remoto y código abierto. En este caso el troyano ha sido personalizado en una versión que ESET ha denominado como AhRat.
iRecorder es una aplicación de Android que ofrece una herramienta de grabación de vídeo y grabación de pantalla que se utiliza para capturar vídeos en vivo o juegos, además de otros contenidos y realizar vídeos con este contenido posteriormente.
En este sentido, según los investigadores de ESET se ha descubierto el troyano AhRat en dicha 'app', que tenía el objetivo de espiar a los usuarios comprometiendo su privacidad, como explican en un comunicado. Así, la app iRecorder infectada llevaba a cabo acciones de forma remota como la grabación de audio circundante desde el micrófono del dispositivo, para después subirlo al servidor de mando y control del actor malicioso.
De la misma forma, el troyano AhRat extraía del dispositivo archivos con extensiones que representasen páginas web guardadas, imágenes, audios, vídeo, documentos y formatos de archivo utilizados para comprimir varios elementos.
Esta aplicación infectada ha podido afectar a los usuarios con dispositivos Android que instalaron una versión de iRecorder anterior a la versión 1.3.8, ya que habrían expuesto de forma inconsciente sus datos y archivos a AhRat "incluso sin conceder permisos a la aplicación".
No obstante, desde ESET han informado de que la aplicación maliciosa ya ha sido eliminada de Google Play, y han detallado que en Android 11 y versiones superiores ya se han implementado "medidas preventivas" contra este tipo de acciones maliciosas.
En concreto, estas medidas se han establecido en forma de "hibernación de aplicaciones". Esto es, poner en estado de hibernación a las 'apps' cuya actividad ha estado inactiva durante varios meses. Para volver a hacer uso se restablecen los permisos de ejecución y, por tanto, se impide que las 'apps' maliciosas funcionen.
AHMYTH RAT
Tal y como han trasladado desde ESET, en el caso del troyano AhRat, se trata de una personalización de AhMyth RAT de código abierto, lo que quiere decir que los ciberdelincuentes "invirtieron un esfuerzo significativo" en comprender el código de la aplicación para adaptarlo a las necesidades del troyano. Sin embargo, no se han encontrado evidencias concretas que permitan atribuir esta actividad a una campaña o grupo en particular.
La aplicación iRecorder contaba con más de 50.000 descargas antes de que fuese eliminada y estaba disponible en Google Play desde 2021. Sin embargo, se estima que la funcionalidad maliciosa ha sido añadida en agosto de 2022.
"El caso de la investigación AhRat sirve como un buen ejemplo de cómo una aplicación inicialmente legítima puede transformarse en maliciosa, incluso después de muchos meses, espiando a sus usuarios y comprometiendo su privacidad", ha explicado uno de los investigadores que descubrió la amenaza, Lukas Stefanko.
Aparte de en Google Play Store, ESET Research no ha detectado el troyano AhRat en ningún otro lugar. No obstante, ha recordado que esta "no es la primera vez" que el 'malware' para Android basado en AhMyth está disponible en la tienda oficial de aplicaciones de Android.
Así, ha hecho referencia a una investigación de 2019, en la que ESET descubrió una aplicación troyanizada de tipo 'spyware' construida sobre AhMyth que "eludió el proceso de verificación de aplicaciones de Google dos veces".
