AhRat zlonamjerni softver skriven Android aplikaciji
AhRat zlonamjerni softver skriven Android aplikaciji otkriva istraživanje sigurnosnih istraživača kompanije ESET.
AhRat zlonamjerni softver skriven Android aplikaciji; Redizajn: Saša Đurić
Zlonamjerna aplikacija
Da izgled može da zavara, to je već poznato, kao i da se sve mijenja. Ovo otprilike opisuje iRecorder – Screen Recorder aplikaciju koja se pojavila u septembru 2021. godine kao aplikacija za snimanje ekrana na Android uređajima sa 50.000 preuzimanja.
U tom trenutku, aplikacija je bila potpuno legitimna. Međutim negdje usput aplikaciji je pridružen trojanac sa daljinskim pristupom (eng. remote access Trojan – RAT) zasnovan na AhMyth administratorski alat otvorenog kôda za pristup informacijama na Android uređajima. Zlonamjeran dio kôda je vjerovatno dodat aplikaciji u verziji 1.3.8 dostupnoj od avgusta 2022. godine.
Sigurnosni istraživači iz kompanije ESET su 23. maja 2023. godine pronašli zlonamjerni softver u iRecorder – Screen Recorder aplikaciji koji su nazvali AhRat, koji može preuzeti određene dokumente i snimke sa mikrofona i poslati ih komandnom serveru pod kontrolom napadača.
“Nakon našeg obavještenja u vezi sa iRecorder zlonamjernim ponašanjem, tim za bezbjednost Google Play ga je uklonio iz prodavnice. Međutim, važno je napomenuti da se aplikacija može naći i na alternativnim i nezvaničnim Android prodavnicama. Programer iRecorder-a takođe nudi druge aplikacije na Google Play-u, ali one ne sadrže zlonamjerni kôd.”
AhMyth je korišten od strane grupe Transparent Tribe, takođe poznate pod nazivom APT36, grupe za sajber špijunažu poznata po svojoj ekstenzivnoj upotrebi tehnika društvenog inženjeringa i ciljanju vladinih i vojnih organizacija u Južnoj Aziji. Ipak, sada nema čvrstih dokaza koji bi mogli ovaj slučaj pripisati određenom napadaču ili nekoj poznatoj grupi za naprednu trajnu prijetnju (eng. Advanced persistent threat – APT).
Zaključak
Ovaj primjer samo pokazuje da napadači usvajaju tehniku koja se zove verzionisanje, što se odnosi na otpremanje čiste verzije aplikacije u Play prodavnicu kako bi se izgradilo povjerenje među korisnicima, a zatim dodavanje zlonamjernog kôda u kasnijoj fazi putem ažuriranja aplikacije, sa ciljem da se prođe kroz proces odobravanja aplikacije.
Tu je i problem Google Play prodavnice koja je prethodno uklonila 60 aplikacija, pa kasnije još 38 aplikacija sa zlonamjernim softverom. Čini se da napadači stalno nalaze nove načine da zaobiđu sigurnosne provjere i da bez obzira što se aplikacija nalazi u Google Play prodavnici i što kompanija Google stalno unapređuje bezbjednosne mehanizme koji provjeravaju aplikacije prije nego što se pojave u prodavnici, korisnici ipak moraju biti pažljivi kada preuzimaju i koriste aplikacije.
iRecorder Screen Recorder aplikacija je brzo uklonjen iz Google Play prodavnice, ali incident pokreće alarmantna pitanja o potencijalnom postojanju agenata za spavanje koji se maskiraju kao bezopasne aplikacije na pametnim telefonima korisnika. Kao odgovor, Google navodno radi na ažuriranjima kako bi poboljšao svest korisnika.
Ova ažuriranja imaju za cilj da korisnicima obezbijede mjesečna obavještenja, informišući ih o aplikacijama koje su promijenile svoje prakse dijeljenja podataka, čime se omogućava korisnicima da preduzmu neophodne mjere predostrožnosti.
