iRecorder-app: van positieve recensies naar kwaadaardige code

Elwin Hodžić
0

IT-beveiligingsonderzoekers van Eset hebben een app met meer dan 50.000 installaties opgespoord. De app, genaamd iRecorder – Screen Recorder, verscheen in september 2021 voor het eerst in de Google Play Store, maar was aanvankelijk niet schadelijk. In augustus 2022 veranderde dit echter.

iRecorder-app van positieve recensies naar kwaadaardige code

Google ads: malware campagnes in overvloed te vinden op Google

Zeldzaam geval van legitieme app met kwaadaardige code

Eset veronderstelt in een blog dat het uiterst zeldzaam is dat een legitieme app in de Google Play Store pas na zo’n lange tijd wordt voorzien van kwaadaardige code. De toegevoegde schadelijke functies omvatten het opnemen via de microfoon en het stelen van bestanden met specifieke extensies, wat wijst op een spionagecampagne. Google heeft de app verwijderd, maar deze kan nog steeds beschikbaar zijn in andere app-winkels en .apk-downloadarchieven.

Functies van de spyware iRecorder

De iRecorder spyware bood de functies die de app beloofde. Maar vanaf augustus 2022 voegden de programmeurs kwaadaardige functies toe om opgeslagen websites, afbeeldingen, audio- en videobestanden, documenten en gecomprimeerde archiefformaten te extraheren en naar de command and control server (C&C) te uploaden. Bestandstypen zoals zip, rar, jpg, jpeg, mp3, mp4, pdf, doc, xls en txt waren het doelwit. De makers van de malware konden niet worden geïdentificeerd.

App-informatie en positieve recensies

De app heet iRecorder – Screen Recorder en is ontwikkeld door Coffeeholic Dev. Volgens de Play Store had de app in maart meer dan 50.000 downloads en kreeg deze 4,2 sterren in de recensies.

Kwaadaardige functies afkomstig van AhMyth RAT

De toegevoegde kwaadaardige functies waren gebaseerd op een opensource toolkit voor externe toegang (RAT) genaamd AhMyth. De oorspronkelijke updates voor iRecorder bevatten ongewijzigde AhMyth-code, maar later werd de code aangepast voor C&C-communicatie en de achterdeur. Deze code is nog niet in andere apps die op Android draaien aangetroffen.

Rechten en communicatie met de C&C-server

De programmeurs hebben enkele functies van AhMyth RAT gebruikt die overeenkwamen met de gevraagde rechten van de app. Een schermrecorder-app heeft bijvoorbeeld toegang nodig tot het opnemen van geluid en het bekijken van foto’s, media en bestanden op het apparaat. Het opnemen van gesprekken via de microfoon vereist dan geen onverwachte nieuwe toegangsrechten. De kwaadaardige code maakte elke 15 minuten contact met de C&C-server om een ​​nieuw configuratiebestand te downloaden, met opdrachten en configuratie-informatie.

Controleer op malware en verwijdering

Aangezien de app mogelijk nog steeds beschikbaar is via andere bronnen dan de Google Play Store, moeten gebruikers controleren of ze de malware hebben geïnstalleerd en deze indien nodig verwijderen. De pakketten hebben de naam com.tsoft.app.iscreenrecorder.

Recente ontdekking van Android-malware in de Google Play Store

Kaspersky heeft onlangs andere Android-malware ontdekt in de Google Play Store met meer dan 600.000 installaties. De kwaadaardige functie daarvan was het heimelijk afsluiten van betaalde abonnementen.

Deel dit artikel

Elwin Hodžić
Elwin Hodžić(Web)redacteur bij c't. Ondanks de studie geschiedenis, altijd al een passie gehad voor alles wat met IT te maken heeft. Sleutelt in zijn vrije tijd graag aan pc’s, van de hardware tot het uitpluizen van de BIOS-instellingen om een pc zo optimaal mogelijk te laten werken.

Lees ook

Een VPN vanaf 1,99 euro p/m met deze Surfshark aanbieding

Een VPN is een handig hulpmiddel voor meer online privacy, toegang tot content die geografisch geblokkeerd is, en veiliger internetgebruik. Een VPN-di...

Pak jouw magazine moment met c’t

Ben je geïnteresseerd in de nieuwste trends en ontwikkelingen in de IT-wereld? Zoek je betrouwbare, onafhankelijke informatie? Dan is c’t magazine hét...

0 Praat mee
avatar
  Abonneer  
Laat het mij weten wanneer er