Les chercheurs d’Eset en sécurité informatique ont découvert une nouvelle application cheval de Troie avec plus de 50 000 installations. L’application en question, iRecorder – Screen Recorder, ne contenait initialement aucune fonctionnalité malveillante avant d’être interrompue par le Google Play Store en septembre 2021. Cependant, en août 2022, l’analyse d’Eset a révélé que l’application était chargée de code malveillant, y compris la possibilité d’enregistrer des conversations au microphone et de voler des fichiers avec certaines extensions de fichiers, suggérant une campagne d’espionnage.
Bien que Google ait depuis supprimé l’application de Google Play, elle peut toujours être disponible sur d’autres magasins d’applications et archives de téléchargement d’APK, ce qui présente un risque important pour les utilisateurs d’Android. Le dernier logiciel espion iRecorder offrait en fait des fonctions légitimes de base, telles que l’enregistrement de fichiers audio et vidéo. Cependant, à partir d’août 2022, les programmeurs ont ajouté une fonctionnalité malveillante qui leur a permis d’extraire des sites Web, des images, des fichiers audio et vidéo, des documents et des formats d’archives compressés enregistrés et de les télécharger sur un serveur de commande et de contrôle (C&C).
Eset n’a pas pu identifier l’organisation cybercriminelle derrière le malware. L’application s’appelle iRecorder – Screen Recorder et provient du développeur Coffeeholic Dev. Les critiques ont été très positives, l’application a reçu 4,2 étoiles et a enregistré plus de 50 000 téléchargements en mars. Les fonctions malveillantes mises à niveau provenaient du kit d’outils d’accès à distance (RAT) AhMyth open source.
Les programmeurs n’ont supprimé que quelques fonctions de l’AhMyth RAT qui correspondent aux droits que l’application avait demandés de toute façon, comme l’enregistrement du son et l’accès aux photos, aux médias et aux fichiers sur l’appareil. Cela rendait l’enregistrement de conversations au microphone légitime. Le code malveillant contactait le serveur C&C toutes les 15 minutes pour télécharger un nouveau fichier de configuration contenant les commandes et les informations de configuration.
Bien que l’application ait été supprimée de Google Play, il est conseillé aux utilisateurs d’autres sources de vérifier s’ils ont installé le logiciel malveillant, en particulier ceux avec des packages appelés com.tsoft.app.iscreenrecorder. Il est important de supprimer toutes les applications non autorisées et suspectes pour vous protéger des menaces futures. La découverte d’iRecorder a soulevé des inquiétudes quant au nombre croissant d’infections par des logiciels malveillants dans le Google Play Store, suggérant que les utilisateurs doivent être plus vigilants lorsqu’ils téléchargent des applications sur leurs appareils.
