Et enregistre secrètement l’audio à proximité toutes les 15 minutes
L’application iRecorder Screen Recorder, qui avait plus de 50 000 téléchargements sur Google Play, a enregistré secrètement l’audio à proximité toutes les 15 minutes et l’a envoyé au développeur de l’application, selon un chercheur de la société de sécurité ESET. L’application, qui permettait aux utilisateurs d’enregistrer l’écran de leur appareil Android, a été mise à jour en septembre 2022 pour ajouter une nouvelle fonctionnalité : la possibilité d’activer à distance le micro du téléphone et d’enregistrer le son, de se connecter à un serveur contrôlé par l’attaquant et d’envoyer l’audio et d’autres fichiers sensibles stockés sur l’appareil. Google a supprimé l’application de son magasin après avoir été informé par ESET.
Les chercheurs d’ESET ont découvert une application Android trojanisée qui était disponible sur le Google Play store avec plus de 50 000 installations. L’application, nommée iRecorder – Screen Recorder, a été initialement téléchargée sur le store sans fonctionnalité malveillante le 19 septembre 2021. Cependant, il semble que la fonctionnalité malveillante ait été implémentée ultérieurement, très probablement dans la version 1.3.8, qui a été mise à disposition en août 2022.
Il est rare qu’un développeur télécharge une application légitime, attende près d’un an, puis la mette à jour avec un code malveillant. Le code malveillant qui a été ajouté à la version propre d’iRecorder est basé sur le RAT (cheval de Troie d’accès à distance) open source AhMyth Android et a été personnalisé pour devenir ce que ESET a appelé AhRat.
En dehors de ce cas, nous n’avons détecté AhRat nulle part ailleurs dans la nature. Cependant, ce n’est pas la première fois qu’un logiciel malveillant Android basé sur AhMyth est disponible sur Google Play ; nous avons déjà publié nos recherches sur une telle application trojanisée en 2019. À l’époque, le logiciel espion, construit sur les fondations d’AhMyth, avait contourné à deux reprises le processus de vérification des applications de Google, en tant qu’application malveillante fournissant un streaming radio.
Présentation de l’application
Outre la fonctionnalité légitime d’enregistrement d’écran, l’iRecorder malveillant peut enregistrer le son environnant à partir du microphone de l’appareil et le télécharger vers le serveur de commande et de contrôle (C&C) de l’auteur de l’attaque. Il peut également exfiltrer de l’appareil des fichiers dont les extensions représentent des pages web sauvegardées, des images, des fichiers audio, vidéo et documentaires, ainsi que des formats de fichiers utilisés pour compresser plusieurs fichiers.
Le comportement malveillant spécifique de l’application – exfiltration des enregistrements du microphone et vol de fichiers avec des extensions spécifiques – tend à suggérer qu’elle fait partie d’une campagne d’espionnage. Cependant, ESET n’a pas été en mesure d’attribuer l’application à un groupe malveillant particulier.
En tant que partenaire de Google App Defense Alliance, ESET a identifié la version la plus récente de l’application comme étant malveillante et a rapidement partagé ses conclusions avec Google. Suite à cette alerte, l’application a été retirée de Google Store.
Distribution de l’application
L’application iRecorder a été initialement publiée sur le Google Play Store le 19 septembre 2021, offrant une fonctionnalité d’enregistrement d’écran ; à ce moment-là, elle ne contenait pas de fonctionnalités malveillantes. Cependant, vers août 2022, ESET a détecté que le développeur de l’application avait inclus des fonctionnalités malveillantes dans la version 1.3.8. Comme le montre la figure ci-dessous, en mars 2023, l’application avait été installée plus de 50 000 fois.
Toutefois, les utilisateurs d’Android qui ont installé une version antérieure d’iRecorder (avant la version 1.3.8), dépourvue de toute fonction malveillante, auraient exposé sans le savoir leur appareil à AhRat s’ils avaient ensuite mis à jour l’application manuellement ou automatiquement, même sans accorder d’autres autorisations.
À la suite du signalement concernant le comportement malveillant d’iRecorder, l’équipe de sécurité de Google Play l’a retirée de la boutique. Toutefois, il est important de noter que l’application peut également être trouvée sur des marchés Android alternatifs et non officiels. Le développeur d’iRecorder propose également d’autres applications sur Google Play, mais elles ne contiennent pas de code malveillant.
Attribution
Auparavant, l’application open source AhMyth était utilisée par Transparent Tribe, également connu sous le nom d’APT36, un groupe de cyberespionnage connu pour son utilisation intensive des techniques d’ingénierie sociale et pour avoir ciblé des organisations gouvernementales et militaires en Asie du Sud. Néanmoins, nous ne pouvons pas attribuer les échantillons actuels à un groupe spécifique, et rien n’indique qu’ils ont été produits par un groupe connu de menaces persistantes avancées (APT).
Au cours de l’analyse effectuée par ESET, les spécialistes en cybersécurité ont identifié deux versions de codes malveillants basés sur AhMyth RAT. La première version malveillante d’iRecorder contenait des parties du code malveillant d’AhMyth RAT, copiées sans aucune modification. La seconde version malveillante, baptisée AhRat, était également disponible sur Google Play, et son code AhMyth était personnalisé, y compris le code et la communication entre le serveur C&C et la porte dérobée.
AhMyth RAT est un outil puissant, capable d’exécuter diverses fonctions malveillantes, notamment l’exfiltration des journaux d’appels, des contacts et des messages texte, l’obtention d’une liste de fichiers sur l’appareil, le suivi de l’emplacement de l’appareil, l’envoi de messages SMS, l’enregistrement audio et la prise de photos. Cependant, ESET a observé qu’un ensemble limité de fonctions malveillantes dérivées du RAT AhMyth original dans les deux versions analysées.
Ces fonctionnalités semblaient s’inscrire dans le modèle de permissions déjà défini de l’application, qui permet d’accéder aux fichiers de l’appareil et d’enregistrer des données audio. Notamment, l’application malveillante offrait une fonctionnalité d’enregistrement vidéo, et l’on s’attendait donc à ce qu’elle demande l’autorisation d’enregistrer du son et de le stocker sur l’appareil, comme le montre la figure ci-dessous. Lors de l’installation de l’application malveillante, celle-ci s’est comportée comme une application standard sans aucune demande d’autorisation supplémentaire spéciale qui aurait pu révéler ses intentions malveillantes.
La recherche sur AhRat est un bon exemple de la façon dont une application initialement légitime peut se transformer en une application malveillante, même après de nombreux mois, espionnant ses utilisateurs et compromettant leur vie privée. Il est possible que le développeur de l’application ait eu l’intention de constituer une base d’utilisateurs avant de compromettre leurs appareils Android par le biais d’une mise à jour ou qu’un acteur malveillant ait introduit ce changement dans l’application.
Heureusement, des mesures préventives contre de telles actions malveillantes ont déjà été mises en œuvre dans Android 11 et les versions ultérieures sous la forme de l’hibernation des applications. Cette fonction met en hibernation les applications qui sont restées inactives pendant plusieurs mois, réinitialisant ainsi leurs autorisations d’exécution et empêchant les applications malveillantes de fonctionner comme prévu.
L’AhRat télécommandé est une personnalisation du RAT open source AhMyth, ce qui signifie que les auteurs de l’application malveillante ont investi des efforts considérables dans la compréhension du code de l’application et du back-end, pour finalement l’adapter à leurs propres besoins. Le comportement malveillant d’AhRat, qui comprend l’enregistrement audio à l’aide du microphone de l’appareil et le vol de fichiers avec des extensions spécifiques, pourrait indiquer qu’il fait partie d’une campagne d’espionnage.
source : developpez