Google Play で無害なアプリとしてリリース後、1 年近くたってマルウェア化したアプリについて、発見した ESET が報告している
(WeLiveSecurity の記事、
Ars Technica の記事、
The Verge の記事、
The Register の記事)。
このアプリ「iRecorder – Screen Recorder」(Internet Archive) は 2021 年 9 月 19 日に Google Play で最初にリリースされ、2022 年 8 月頃にはバージョン 1.3.8 でマルウェア化していたという。当初は名前の通りデバイスの画面を録画するアプリだったが、その後カメラからのビデオ撮影機能なども追加されたらしい。
マルウェア化したバージョンはオープンソースの遠隔操作ツール AhMyth Android RAT をベースにしたコードが追加されたもので、ESET は AhRAT と名付けている。AhRAT は C&C サーバーに接続してマイクから録音した音声 (調査時点では 60 秒) を送信するとともに新しい設定ファイルを受信する。指定された拡張子のファイルを送信する機能も搭載されていたほか、設定ファイルには実装されていないコマンドも含まれていたそうだ。
アプリ開発者が無害なアプリを Google Play でリリースし、1 年近く待ってからマルウェアに変えるのは珍しいという。以前 Google Play で公開されていたバーコードスキャナーアプリのマルウェア化や Chrome ウェブストアで公開されていた拡張機能のマルウェア化が話題になったが、これらの場合は途中で開発元が変わっている。なお、「iRecorder」という名称のアプリは Google Play で複数公開されているが、このアプリは削除済みだ。
| セキュリティ
| ソフトウェア
| デベロッパー
| Android
|
関連ストーリー:
Google Playにある古参アプリ、マルウェアと誤認される。マルウェア化したアプリと同名
2021年02月12日
Google、マルウェア化したChrome拡張機能をリモートから無効化
2021年02月06日
Chrome拡張機能のNano Defenderがマルウェア化
2020年10月18日
自動更新によって突如マルウェア化する人気Chrome拡張
2016年11月04日
Source: スラッシュドット
