Was du wissen musst
- Eine legitime Bildschirmaufzeichnungs-App im Play Retailer stellte sich nach Erhalt eines böswilligen Updates als Spy ware heraus.
- Es wurde festgestellt, dass die Bildschirmaufzeichnungs-App iRecorder alle 15 Minuten Audio aufzeichnet und Daten an Distant-Server sendet.
- Ein Sicherheitsforscher machte Google auf die böswilligen Aktivitäten der App aufmerksam, was dazu führte, dass die App aus dem Play Retailer entfernt wurde.
Eine Bildschirmaufzeichnungs-App, die im ersten Jahr im Play Retailer harmlos erschien, hat sich zu einer Spy ware entwickelt, die heimlich alle 15 Minuten Benutzer aufzeichnet und Audiodaten an den Server des Entwicklers sendet.
Diese bösartige Aktivität wurde vom ESET-Forscher Lukas Stefanko dokumentiert, der in einem Blogbeitrag (über Ars Technica) schrieb, dass mehr als 50.000 Menschen die App namens iRecorder – Display Recorder heruntergeladen hätten. Die App, die den Bildschirm eines Geräts aufzeichnen sollte, wurde am 19. September 2021 in den Play Retailer aufgenommen und funktionierte regular wie jede andere App.
Nach Erhalt eines Updates im August 2022 (Model 1.3.8) erhielt die App jedoch schädliche Funktionen, die sie zu einer Bedrohung für Benutzer machten. Offenbar hat das Replace benutzerdefinierten Schadcode eingeschleust, der auf dem Open-Supply-Trojaner AhMyth Android RAT (Distant Entry Trojan) basiert, der später den Namen AhRat erhielt.
ESET informierte Google umgehend über seine Ergebnisse und die iRecorder-App wurde inzwischen aus Google Play entfernt. Die trojanisierte App hingegen stellt weiterhin eine ernsthafte Bedrohung für diejenigen dar, die sie auf ihren Telefonen installiert haben, da sie Zugriff auf Dateien gewährt und Audioaufzeichnungen ohne deren Wissen ermöglicht.
Laut ESET extrahiert die App Mikrofonaufnahmen und stiehlt Dateien mit spezifischen Erweiterungen für gespeicherte Webseiten, Bilder, Audio-, Video- und Dokumentdateien. Diese Dateien wurden dann an einen Befehls- und Kontrollserver übertragen.
Das Sicherheitsunternehmen stellte fest, dass diese böswillige Aktivität möglicherweise Spuren einer Spionagekampagne aufweist, fügte jedoch hinzu, dass es „nicht in der Lage sei, die App einer bestimmten böswilligen Gruppe zuzuordnen“.
Glücklicherweise hat Google seit Android 11 bereits eine Reihe von Maßnahmen zur Bekämpfung dieser bösartigen Aktionen ergriffen. Diese Sicherheitsfunktion versetzt Apps, die mehrere Monate lang inaktiv waren, in den Ruhezustand und setzt ihre Laufzeitberechtigungen zurück. Darüber hinaus machen Sie die Android-Sicherheitsupdates von Google jetzt durch eine monatliche Benachrichtigung auf etwaige unregelmäßige Datenaustauschpraktiken einer App aufmerksam. Einige unserer beliebtesten Sicherheits-Apps sind auch mit Funktionen zum Stoppen von Malware-Angriffen ausgestattet.