L’inquietudine di essere ascoltati segretamente dai nostri smartphone è qualcosa che ha attraversato la mente di molti di noi, in particolare quando ci ritroviamo a vedere pubblicità correlate a discussioni recenti. Si scopre che queste preoccupazioni non erano totalmente prive di fondamento.
Una Trappola all’interno dell’App Store di Google
Una compagnia di sicurezza informatica ha rivelato che un’app molto diffusa per la registrazione dello schermo su Android, che ha raggiunto decine di migliaia di download sull’app store di Google, ha iniziato a intrufolarsi nella privacy dei suoi utenti, rubando perfino le registrazioni dal microfono e altri documenti dal telefono dell’utente.
Un’indagine condotta da ESET ha evidenziato che l’app per Android “iRecorder – Screen Recorder”, ha inserito un codice malevolo attraverso un aggiornamento, quasi un anno dopo la sua prima apparizione su Google Play. Secondo ESET, il codice permetteva all’app di registrare segretamente un minuto di audio ambientale dal microfono del dispositivo ogni 15 minuti, oltre a sottrarre documenti, pagine web e file multimediali dal telefono dell’utente.
L’app non è più disponibile su Google Play. Se avete installato questa app, dovreste rimuoverla dal vostro dispositivo. Quando l’app dannosa è stata rimossa dall’app store, aveva superato i 50.000 download.
Malware Infiltrato: AhRat e le sue Caratteristiche
ESET ha battezzato il codice malevolo AhRat, un’edizione customizzata di un trojan di accesso remoto open source chiamato AhMyth. I trojan di accesso remoto (o RAT) approfittano di un’ampia accessibilità al dispositivo della vittima e possono spesso offrire controllo remoto, ma funzionano anche come spyware e stalkerware.
Lukas Stefanko, un ricercatore di sicurezza di ESET che ha identificato il malware, ha dichiarato in un post sul blog che l’app iRecorder non presentava funzionalità dannose quando è stata rilasciata per la prima volta nel settembre 2021.
Quando l’aggiornamento con il codice malevolo AhRat è stato distribuito agli utenti esistenti (e ai nuovi utenti che avrebbero scaricato l’app direttamente da Google Play), l’app ha iniziato a accedere segretamente al microfono dell’utente e a caricare i dati del telefono dell’utente su un server controllato dal gestore del malware. Stefanko ha affermato che la registrazione audio “si adattava al modello di autorizzazioni già definito per le app”, poiché l’app era progettata per registrare lo schermo del dispositivo e richiedeva l’accesso al microfono del dispositivo.
Non è chiaro chi abbia inserito il codice malevolo, se lo sviluppatore o un terzo, e per quale ragione.
Stefanko ha suggerito che il codice malevolo potrebbe essere parte di una campagna di spionaggio più ampia, in cui gli hacker si impegnano per ottenere informazioni su obiettivi specifici, a volte su incarico di governi o per scopi economici. Ha sottolineato che è “inusuale che uno sviluppatore rilasci un’app legittima, attenda quasi un anno e poi la aggiorni con del codice malevolo”.
Il Controllo degli App Store e la Lotta contro le App Dannose
Non è raro che le app dannose si infiltrino negli app store, e non è la prima volta che AhMyth si insinua in Google Play. Google e Apple effettuano controlli sulle app per identificare la presenza di malware prima di inserirle nella loro lista di download, e talvolta agiscono in modo proattivo per ritirare le app che potrebbero mettere a rischio gli utenti. L’anno scorso, Google ha annunciato di aver bloccato più di 1,4 milioni di app che violavano la privacy dall’accesso a Google Play.
