Una aplicación está causando miedo entre los usuarios de Androide, Es un “trojanización” que sufrió iRecorder en su última actualización. Esta herramienta había estado disponible en la tienda oficial de Google Play y tenía más de 50 mil instalaciones. También conocido como Grabador de pantalla, fue subido inicialmente a la tienda sin funcionalidad maliciosa él 19 de septiembre de 2021. Sin embargo, la carga “virulento” se implementó más tarde, probablemente en el versión 1.3.8 que estaba disponible en agosto de 2022.
Se llama AhRat y es un nuevo troyano de acceso remoto (RAT) para Android
Gracias al equipo de investigación de ESET —empresa especializada en la detección proactiva de amenazas— se descubrió este nuevo troyano que infecta a miles de dispositivos móviles. La cibercompañía reveló los detalles clave del estudio, y esto es lo que nos compartió en cuatro puntos clave:
- ESET es socio de Alianza de defensa de aplicaciones de Google.
- también podría detectar una aplicación troyana en la tienda Google Play.
- Este es un malware basado en ahmito que llamaron AhRat.
- Inicialmente, la aplicación iRecorder no tenía funciones maliciosas, pero recibió un actualizar con código malicioso varios meses después de su lanzamiento.
- Esto significa que ha estado infectando a los usuarios desde el agosto de 2022.
- Él comportamiento malicioso La aplicación específica implica:
- Extracción de grabaciones del micrófono.
- Robo de archivos con extensiones específicas.
- Y todo ello indica su potencial participación en un campaña de espionaje
- La aplicación maliciosa —con más de 50.000 descargas— Ya se ha eliminado de Google Play después del informe y desde entonces no detectado actividad de ahrat en ningún otro lugar.
Este caso es extremadamente raro y más en una aplicación legítima.
Camilo Gutiérrez Amaya, El jefe del Laboratorio de Investigación de ESET Latinoamérica, señaló que es extremadamente raro que un desarrollador suba a una aplicación legítima un código malicioso, sobre todo si tuvo que esperar casi un año para actualizarlo y llevar a cabo su objetivo. Notablemente este malware añadido a la versión limpia de iRecorder, que se basa en el código abierto RATA (troyano de acceso remoto) para Androide ahmito y ha sido “bautizado” como: AhRat.
Además de este caso específico, ESET no ha detectado Actividad de AhRat en ningún otro lugar. “Sin embargo, esta no es la primera vez que detectamos malware de Android basado en AhMyth disponible en Google Play”.puntiagudo Camilo Gutiérrez. En 2019 también se publicó una investigación sobre una aplicación troyana basado en el código de AhMito. En ese entonces, era un software espía —un tipo de software que se instala en la computadora sin el conocimiento del usuario— que logró esquivar dos veces el proceso de verificación de la aplicación Google haciéndose pasar por una aplicación “transmisión de radio”.
¿Qué hizo iRecorder por los usuarios?
Además de brindar funcionalidad grabación de pantalla legítima —según indica ESET— la app maliciosa iRecorder poder grabar audio circundante desde el micrófono del dispositivo y subirlo al servidor comando y control (C&C) del atacante. También puedes filtrar —desde el dispositivo— archivos con extensiones que representan:
- Páginas web guardadas.
- Imágenes.
- archivos de sonido.
- Vídeo y documentos.
- Formatos de archivo utilizados para comprimir varios archivos.
El comportamiento malicioso específico de la aplicación sugiere que es parte de un campaña de espionaje Sin embargo, la solicitud no podía atribuirse a ningún grupo malicioso particular.
El Diario Heraldo de México, es un sitio web de Heraldo Media Group, su lema es: “la evolución de esta casa editorial a una multiplataforma que integra a un diario impreso, digital, televisión y radio… somos la H que se lee, ve y escucha”.