¿Alguna vez has descargado una aplicación útil solo para que, después de una actualización, se vuelva en tu contra? Pues es lo que ha sucedido recientemente con una popular aplicación en Google Play, que se convirtió en un caballo de Troya con una simple actualización.
ESET ha descubierto que una aplicación de Android, llamada iRecorder -Screen Recorder, se convirtió en una herramienta de espionaje después de una actualización. Según sus investigaciones, la aplicación llegó a la tienda Google Play de manera legítima, sin funcionalidad maliciosa el 19 de septiembre de 2021, y acumuló más de 50.000 instalaciones. Sin embargo, con la actualización a la versión 1.3.8 en agosto de 2022, introdujo un código malicioso.
La app troyanizada iRecorder
Este código malicioso, basado en el código abierto de un troyano de acceso remoto (RAT) para Android llamado AhMyth, fue denominado AhRat. Aunque AhRat se ha utilizado en otras aplicaciones maliciosas, este es el primer caso en el que se implementa después de que la aplicación se lanzó de manera legítima.
Con la funcionalidad maliciosa de AhRat, iRecorder puede grabar el audio circundante desde el micrófono del dispositivo y subirlo al servidor del atacante. También puede exfiltrar archivos de diversas extensiones, lo que indica que puede formar parte de una campaña de espionaje.
Permisos solicitados por la aplicación iRecorder
Lo más preocupante de este caso es que los usuarios que descargaron la versión original de iRecorder, que no tenía funcionalidad maliciosa, podrían haber expuesto sus dispositivos a AhRat si actualizaban la aplicación de forma manual o automática.
A pesar de que el grupo de ciberespionaje Transparent Tribe, también conocido como APT36, ha empleado AhMyth en el pasado, ESET no ha podido atribuir AhRat a ningún grupo malicioso específico.
Una vez instalada, AhRat comienza a comunicarse con el servidor del atacante, enviando información básica del dispositivo y recibiendo claves de cifrado y un archivo de configuración cifrado. Estas claves se utilizan para cifrar y descifrar el archivo de configuración y algunos de los datos extraídos, como la lista de archivos en el dispositivo.
Aunque Google Play ya ha eliminado iRecorder después de la notificación de ESET, es importante destacar que la aplicación también puede estar disponible en mercados de Android alternativos y no oficiales. Es fundamental que los usuarios de Android mantengan sus dispositivos seguros con protección de múltiples capas, como la que ofrece ESET Mobile Security. Android 11 y versiones superiores también han implementado medidas preventivas contra este tipo de acciones maliciosas mediante la hibernación de aplicaciones, que restablece los permisos de las aplicaciones inactivas y evita que las aplicaciones maliciosas funcionen según lo previsto.
En resumen, es crucial mantener tus dispositivos protegidos y ser consciente de las aplicaciones que descargas y actualizas, porque nunca se sabe cuándo una aplicación útil puede convertirse en una herramienta de espionaje.