Tecnolog铆a

馃槺 Cuidado con esta aplicaci贸n que graba la pantalla del celular y esp铆a todo lo que hacemos

Un nuevo caso de una aplicaci贸n maliciosa fue detectado por聽ESET, empresa de ciberseguridad, en el que encontr贸 c贸mo la plataforma dur贸 un a帽o prestando sus servicios de forma segura y luego empez贸 a ser maliciosa espiando a los usuarios.

iRecorder 鈥 Screen Recorder聽es el nombre de la app que estuvo disponible en聽Google Play Store, para celulares聽Android, operando de manera inofensiva, ofreciendo opciones para grabar la pantalla del tel茅fono y alcanz贸 m谩s de 50.000 descargas.

La aplicaci贸n fue publicada en septiembre de 2021 y un a帽o despu茅s, en agosto de 2022, recibi贸 una actualizaci贸n que la convirti贸 en maliciosa con el objetivo de robar archivos y grabar audio del dispositivo.

鈥淓s raro que un desarrollador cargue una aplicaci贸n leg铆tima, espere casi un a帽o y luego la actualice con un c贸digo malicioso. El c贸digo malicioso que se agreg贸 a la versi贸n limpia de iRecorder se basa en el c贸digo abierto del RAT (troyano de acceso remoto) para Android鈥, asegur贸 Camilo Guti茅rrez, jefe del Laboratorio de Investigaci贸n de ESET Latinoam茅rica.

C贸mo operaba esta aplicaci贸n

iRecorder cumpl铆a con su prop贸sito de grabar la pantalla y a pesar de tener una actualizaci贸n maliciosa, sigui贸 siendo funcional para el usuario. Pero al mismo tiempo grababa el audio al rededor del celular y lo cargaba servidor de comando y control del atacante.

El acceso al micr贸fono lo obten铆a del permiso que el usuario le daba al momento instalar la aplicaci贸n, ya que una de sus funciones era grabar la pantalla con el audio incluido.

Adem谩s de esto, la plataforma tomaba archivos como p谩ginas web guardadas, im谩genes, archivos de audio, video y documentos para llevarlos al servidor.

La aplicaci贸n ten铆a la capacidad de robar archivos y grabar el audio del celular.La aplicaci贸n ten铆a la capacidad de robar archivos y grabar el audio del celular.

Sin bien este tipo de comportamiento malicioso tiende a ser usado en campa帽as de espionaje, durante su investigaci贸n la empresa no encontr贸 qui茅n era el responsable de este ataque y el usuario que subi贸 la aplicaci贸n a聽Play Store聽tiene otras aplicaciones en la tienda, pero todas son leg铆timas.

鈥淒espu茅s de reportar el comportamiento malicioso de iRecorder, el equipo de seguridad de Google Play elimin贸 la app de la tienda. Sin embargo, es importante tener en cuenta que la aplicaci贸n tambi茅n puede estar disponible en mercados de聽Android聽alternativos y no oficiales鈥, asegur贸 Guti茅rrez.

AhMyth RAT, el malware utilizado para este caso, ha sido utilizado por Transparent Tribe, que tambi茅n es conocido como APT36, y es un grupo de ciberespionaje con t茅cnicas de ingenier铆a social que suele apuntar a organizaciones gubernamentales y militares en el sur de Asia.

Esta herramienta de ataque ofrece varias funciones maliciosas, incluida la extracci贸n de registros de llamadas, contactos y mensajes de texto, tambi茅n puede obtener la lista de archivos en el dispositivo, hacer seguimiento de la ubicaci贸n del dispositivo, enviar mensajes SMS, grabar audio y tomar de fotograf铆as.

La aplicaci贸n ten铆a la capacidad de robar archivos y grabar el audio del celular. (Freepik)La aplicaci贸n ten铆a la capacidad de robar archivos y grabar el audio del celular. (Freepik)

Sin embargo, para el ataque de esta aplicaci贸n, los ciberdelincuentes decidieron aprovechar los permisos obtenidos al momento de instalar la plataforma y no pedir nuevos accesos que llamaran la atenci贸n, por ese motivo se limit贸 a grabar el audio y robar archivos.

鈥淓sta investigaci贸n sirve como un ejemplo de c贸mo una aplicaci贸n inicialmente leg铆tima puede transformarse en una maliciosa, incluso despu茅s de muchos meses. Es posible que el desarrollador detr谩s de esta aplicaci贸n haya tenido la intenci贸n de crear una base de usuarios antes de comprometer sus dispositivos Android mediante una actualizaci贸n o que haya sido un actor malicioso el que introdujo este cambio en la aplicaci贸n鈥, concluy贸 el experto.

Art铆culos Relacionados