En un an, l'appli Android légitime iRecorder devient malveillante et espionne ses utilisateurs, dit ESET Research
Publié le 23/05/2023 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
● ESET, partenaire de Google App Defense Alliance, a détecté une appli trojanisée disponible sur Google Play Store et a nommé AhRat ce maliciel basé sur AhMyth.
● Initialement, l'appli iRecorder n'avait aucune fonctionnalité nuisible. Mais chose rare, l'appli a reçu une mise à jour contenant du code malveillant quelques mois après son lancement.
● Le comportement malveillant spécifique de l'appli, qui extrait des enregistrements de microphone et vole des fichiers avec extensions spécifiques, indique potentiellement son implication dans une campagne d'espionnage.
● L'appli malveillante avec plus de 50 000 téléchargements a été supprimée de Google Play après l'alerte d'ESET Research. ESET n'a détecté AhRat nulle part ailleurs.

BRATISLAVA, KOŠICE — Le 23 mai 2023 — Les chercheurs d'ESET ont découvert une appli Android contenant un cheval de Troie nommée iRecorder - Screen Recorder. Dès septembre 2021, elle était disponible sur Google Play en tant qu'appli légitime avec une fonctionnalité malveillante ajoutée très probablement en août 2022. Cette appli a été installée sur plus de 50 000 appareils. Le code malveillant qui a été ajouté à la version ‘propre‘ d'iRecorder est basé sur le RAT Android AhMyth open source (cheval de Troie d'accès à distance) et a été adapté dans ce qu'ESET a nommé AhRat. L'appli malveillante peut enregistrer de l'audio à l'aide du microphone de l'appareil et voler des fichiers, suggérant qu'elle pourrait faire partie d'une campagne d'espionnage.

En dehors de Google Play Store, ESET Research n'a détecté AhRat nulle part ailleurs. Mais ce n'est pas la première fois qu'un maliciel Android basé sur AhMyth est disponible sur la boutique officielle. Précédemment ESET avait publié des recherches sur une appli similaire trojanisée en 2019. A cette époque, le logiciel espion - développé sur les bases d'AhMyth - contournait à deux reprises le processus de vérification des applis de Google, en tant qu'appli malveillante fournissant le streaming radio. L'appli iRecorder peut aussi être trouvée sur des marchés Android alternatifs et non officiels. Le développeur fournit également d'autres applis sur Google Play, mais elles ne contiennent pas de code malveillant.

"La recherche sur AhRat est un bon exemple de la façon dont une appli, légitime au départ, peut se transformer en une appli malveillante, même après plusieurs mois, en espionnant ses utilisateurs et en compromettant leur vie privée. Il est possible que le développeur de l'appli ait eu l'intention de se constituer une base d'utilisateurs avant de compromettre leurs appareils Android par une mise à jour ou qu'un acteur malveillant ait introduit ce changement dans l'appli. Jusqu'à présent, nous n'avons aucune preuve pour l'une ou l'autre de ces hypothèses”, explique Lukáš Štefanko, le chercheur d'ESET qui a fait la découverte et enquêté sur la menace.

L'AhRat contrôlé à distance est une adaptation de l'AhMyth RAT open-source, ce qui signifie que les auteurs de l'appli malveillante ont fait des efforts considérables pour comprendre le code de l'appli et du back-end afin de l'adapter à leurs propres besoins.

En plus de fournir une fonctionnalité légitime d'enregistrement d'écran, l'iRecorder peut enregistrer l'audio environnant à partir du microphone de l'appareil et le télécharger sur le serveur de commande et de contrôle de l'attaquant. Il peut également exfiltrer des fichiers avec des extensions représentant des pages Web enregistrées, des images, des fichiers audio, vidéo et de documents, ainsi que des fichiers utilisés pour compresser plusieurs fichiers.

Les utilisateurs d'Android ayant installé une version antérieure d'iRecorder (avant la version 1.3.8), dépourvue de fonctionnalités malveillantes, auraient sans le savoir exposé leurs appareils à AhRat s'ils avaient ensuite mis à jour l'appli manuellement ou automatiquement, même sans accorder d'autre autorisation d'approbation de l‘appli.

"Heureusement, des mesures préventives contre de telles actions ont déjà été incluses dans Android 11 et les versions supérieures sous la forme de l'hibernation des applis. Cette fonctionnalité place efficacement les applis inactives depuis plusieurs mois dans un état d'hibernation, réinitialisant ainsi leurs autorisations d'exécution et empêchant les applis malveillantes de fonctionner comme prévu. L'appli malveillante a été supprimée de Google Play après notre alerte. Cela confirme la nécessité essentielle d'une protection à travers plusieurs couches, comme ESET Mobile Security, pour protéger les appareils contre d'éventuelles failles sécuritaires “, conclut Štefanko.

Jusqu’à présent, ESET Research n'a pas trouvé de preuves concrètes permettant d'attribuer cette activité à une campagne ou à un groupe APT particulier.

Pour plus d'informations techniques sur l'appli iRecorder et AhRat, consultez le blog "Android app breaking bad : From legitimate screen recording to file exfiltration within a year” sur WeLiveSecurity. Assurez-vous de suivre ESET Research on Twitter pour les dernières nouvelles d'ESET Research.

A propos d’ESET Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook , Instagram et https://www.eset.com/be-fr/

Poster un commentaire
Vous devez être identifié pour accéder à cette fonctionnalité

Utilisateur
Mot de passe
 
Informaticien.be - © 2002-2024 AkretioSPRL  - Generated via Kelare
The Akretio Network: Akretio - Freedelity - KelCommerce - Votre publicité sur informaticien.be ?