ESETは5月23日(米国時間)、「Android app breaking bad: From legitimate screen recording to file exfiltration within a year|WeLiveSecurity」において、Google Playストアで5万回以上ダウンロードされているAndroidアプリにトロイの木馬型マルウェアが潜んでいたとして、注意を喚起した。「iRecorder – Screen Recorder」というアプリに悪意のある機能が実装されていたことがわかった。
-
Android app breaking bad: From legitimate screen recording to file exfiltration within a year|WeLiveSecurity
当該アプリは2021年9月にGoogle Playストアに公開され、マルウェアが隠蔽されていた。Google Playストアに追加された当初は正当な画面録画機能を提供する何の問題もないアプリだったが、2022年8月に公開されたバージョン1.3.8でトロイの木馬化されていたことが明らかとなった。
追加されていたマルウェアは、オープンソースのAndroidマルウェアであるAhMyth RAT(Remote Administration Trojan)のコードをベースにカスタマイズされていたため、「AhRat」と名付けられている。AhMythは2017年後半に登場したスパイウェアで、AhRatもスパイウェアと考えられている。
AhRatにはデバイスのマイクから周囲の音声を録音し、コマンド&コントロール(C2: Command and Control)サーバにアップロードする機能が提供されている。また、デバイスに保存されている画像や音声、動画、文書、圧縮ファイルといったとったさまざまな情報を窃取することも可能とされている。
なお、特定されたトロイの木馬化されたアプリは迅速にGoogleに報告され、すでにGoogle Playストアから削除されている。
