Ursprünglich war der iRecorder ein harmloser Screen-Recorder für Android. Doch ein Update machte ihn zu einem ausgewachsenen Spionagetool.
Der iRecorder kam zunächst als völlig harmlose Screen-Recorder-App in den Google Play Store. Doch mit einem Update schmuggelte der Entwickler einen Trojaner auf die Geräte der Anwender. Dieser hört nicht nur fleißig über das Mikrofon mit, sondern greift auch Dateien verschiedenster Art ab. Wer tatsächlich hinter dem böswilligen Spionage-Angriff steckt, ist bisher noch unklar.
Bösartiges Update verseuchte iRecorder nachträglich mit Malware
Sicherheitsforscher von ESET haben eine bösartige Screen-Recorder-App namens iRecorder entdeckt, die über den Google Play Store zum Download zur Verfügung stand und bis März 2023 mehr als 50.000 Installationen aufwies. Die erste Version der Anwendung erschien am 19. September 2021 zunächst ohne bösartige Funktionen.
Erst ab August 2022 soll der Entwickler Coffeeholic Dev per Update auf Version 1.3.8 den quelloffenen AhMyth Android RAT (Remote Access Trojaner) eingeschleust haben. Da der böswillige Akteur dafür einige Anpassungen am Quellcode der Malware vornahm, gaben die Forscher ihr einen eigenen Namen: “AhRat”.
“Der ferngesteuerte AhRat ist eine Anpassung des quelloffenen AhMyth RAT, was bedeutet, dass die Autoren der bösartigen App erhebliche Anstrengungen unternommen haben, um den Code sowohl der App als auch des Backends zu verstehen und ihn schließlich an ihre eigenen Bedürfnisse anzupassen.”
ESET-Forscher
iRecorder hört mit und greift Daten ab
Ursprünglich war der iRecorder lediglich dazu gedacht, seinen Benutzern die Aufzeichnung von Bildschirminhalten ihrer Android-Geräte zu erlauben. Nach dem Update auf Version 1.3.8 begann die Software jedoch damit, im Hintergrund Umgebungsgeräusche über das Mikrofon aufzuzeichnen und an einen vom Angreifer kontrollierten Server zu übermitteln.
Darüber hinaus exfiltriert die Schadsoftware aber auch Dateien mit bestimmten Dateinamenserweiterungen. Darunter befinden sich Bilder, Videos, Audiodateien, Dokumente und Archivdateien mit folgenden Dateiendungen:
zip, rar, jpg, jpeg, jpe, jif, jfif, jfi, png, mp3, mp4, mkv, 3gp, m4v, mov, avi, gif, webp, tiff, tif, heif, heic, bmp, dib, svg, ai, eps, pdf, doc, docx, html, htm, odt, pdf, xls, xlsx, ods, ppt, pptx, txt
Die Forscher gehen davon aus, dass die iRecorder-App Teil einer größeren Spionagekampagne ist. Es gelang ihnen jedoch nicht, den enthaltenen AhRat-Code einer bestimmten Hackergruppe zuzuordnen.
Anwender sollten handeln
Google hat den iRecorder nach einem Hinweis der ESET-Forscher aus dem Play Store entfernt. Er ist jedoch bei apkgk.com und unter Umständen noch in weiteren alternativen App-Stores zu finden. Benutzer, die die Anwendung noch installiert haben, sollten sie schleunigst von ihren Geräten entfernen. Auch wenn es sich um eine “saubere” Version von vor August 2022 handelt, könnte die Ausführung eines Updates zu einer Infektion mit dem AhRat-Trojaner führen.
Der Entwickler hinter der verseuchten Screen-Recorder-App für Android bietet auf Google Play weitere Anwendungen an. Diese enthalten nach aktuellem Kenntnisstand noch keinen bösartigen Code.
Es gibt aber auch bisher keine Beweise dafür, dass der Herausgeber der App den Trojaner selber eingeschleust hat. Möglicherweise war er ebenfalls Opfer eines Cyberangriffs, sodass ein anderer böswilliger Akteur den Code in den iRecorder eingebaut hat. Für beide Szenarien gibt es laut dem ESET-Bericht bisher keine Beweise.