
Ein harmloser Screen-Recorder für Android namens iRecorder hat sich als Trojaner entpuppt. Ursprünglich als völlig ungefährliche Anwendung im Google Play Store erhältlich, hat der Entwickler ein Update veröffentlicht, das einen Trojaner auf den Geräten der Benutzer installiert. Der iRecorder wurde von Sicherheitsforschern von ESET entdeckt, die herausfanden, dass er bis März 2023 mehr als 50.000 Installationen aufwies.
Erst ab August 2022 hat der Entwickler Coffeeholic Dev ein Update auf Version 1.3.8 veröffentlicht, das den quelloffenen AhMyth Android RAT (Remote Access Trojaner) enthielt. Die Forscher haben festgestellt, dass der böswillige Akteur einige Anpassungen am Quellcode der Malware vorgenommen hat, um sie an seine eigenen Bedürfnisse anzupassen. Daher haben sie ihr einen eigenen Namen gegeben: "AhRat".
Die iRecorder-App wurde ursprünglich entwickelt, um Benutzern die Aufzeichnung von Bildschirminhalten ihrer Android-Geräte zu ermöglichen. Doch nach dem Update auf Version 1.3.8 begann die Software damit, im Hintergrund Umgebungsgeräusche über das Mikrofon aufzuzeichnen und an einen vom Angreifer kontrollierten Server zu übermitteln. Darüber hinaus exfiltriert die Schadsoftware auch verschiedene Dateien wie Bilder, Videos, Audiodateien, Dokumente und Archivdateien.
Die Forscher gehen davon aus, dass die iRecorder-App Teil einer größeren Spionagekampagne ist. Es ist jedoch unklar, wer hinter dem Angriff steckt und welches Ziel verfolgt wird. Google hat die App nach einem Hinweis der ESET-Forscher aus dem Play Store entfernt. Sie ist jedoch möglicherweise noch in anderen alternativen App-Stores erhältlich.
Benutzer, die die Anwendung noch installiert haben, sollten sie umgehend von ihren Geräten entfernen. Auch wenn es sich um eine "saubere" Version von vor August 2022 handelt, könnte die Installation eines Updates zu einer Infektion mit dem AhRat-Trojaner führen. Der Entwickler bietet auf Google Play weitere Anwendungen an, die derzeit keinen bösartigen Code enthalten. Es gibt jedoch keine Beweise dafür, dass der Herausgeber der App den Trojaner selbst eingeschleust hat. Möglicherweise war er auch Opfer eines Cyberangriffs, bei dem ein anderer böswilliger Akteur den Code in den iRecorder eingebaut hat.
Fazit
Der iRecorder ist ein erschreckendes Beispiel dafür, wie eine harmlose Anwendung durch ein bösartiges Update zu einem Spionagetool werden kann. Benutzer sollten sicherstellen, dass sie nur Anwendungen aus vertrauenswürdigen Quellen herunterladen und regelmäßig ihre Geräte auf Malware überprüfen. Im Falle einer Infektion sollten sie sofort handeln, um ihre persönlichen Daten und ihre Privatsphäre zu schützen.
Kommentare