Tanto para los usuarios como para los creadores de aplicaciones, lo que puede hacer cualquier malware troyano merece atención.
Era útil. Era segura. Era popular. Era legítima. Pero, sobre todo, era inofensiva. Un troyano cambió todo eso, según ESET.
La empresa de detección de amenazas ha advertido sobre el caso de iRecorder, aplicación presente en Google Play que, gracias a la acción de un malware de tipo troyano se convirtió en maliciosa, y, por tanto riesgosa.
No importa si no la conoce. O nunca la usó. Lo importante de la triste historia de iRecorder es que muestra, tanto a los usuarios como a los pequeños desarrolladores, que deben estar alertas.
En especial estos últimos (los cuales nos gusta creer que estamos promoviendo) debe recibir la indicacion de que no basta con crear una aplicación útil: es necesario hacer que sea segura.
Y con un código a prueba de troyanos, de preferencia. Si es que esto es posible.
Adiós, iRecorder, adiós
Ahora, los hechos: la aplicación llamada iRecorder – Screen Recorder se cargó, inicialmente, en la tienda sin funcionalidad maliciosa el 19 de septiembre de 2021.
Luego, ocurrió el cambio: la funcionalidad maliciosa se implementó, probablemente, en la versión 1.3.8, que estuvo disponible en agosto de 2022.
Como socio de Google App Defense Alliance, ESET detectó que la aplicación troyanizada disponible en la tienda Google Play.
Así, iRecorder había sido transformada por un malware basado en AhMyth al que los especialistas de ESET denominaron AhRat.
El comportamiento malicioso específico de la aplicación involucra la extracción de grabaciones del micrófono y el robo de archivos con extensiones específicas, lo que indica su potencial participación en una campaña de espionaje.
La aplicación maliciosa, con más de 50.000 descargas, se eliminó de Google Play después del reporte de ESET y, desde entonces, no se ha detectado actividad de AhRat en ningún otro lugar.
Troyano viene de Troya
Camilo Gutierrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica destacó algunos detalles que hacen a este caso notable.
“Es raro que un desarrollador cargue una aplicación legítima, espere casi un año y luego la actualice con un código malicioso. El código malicioso que se agregó a la versión limpia de iRecorder se basa en el código abierto del RAT (troyano de acceso remoto) para Android AhMyth y ha sido personalizado en lo que llamamos AhRat”, explicó.
Roconoce el especialista que no han detectado nueva actividad de AhRat. Esa es la buena noticia.
La mala es que no es la primera (ni la última) vez que ESET detectam malware para Android basado en AhMyth disponible en Google Play: en 2019 también publicaron una investigación sobre una aplicación troyanizada basada en el código de AhMyth.
En ese entonces, se trataba de un spyware que logró eludir dos veces el proceso de verificación de aplicaciones de Google enmascarándose como una aplicación de streaming de radio.
¿Consejo para desarrolladores? En principio, que sigan el Podcast Conexión Segura de la empresa para mantenerse al día de los eventos de formación, certificaciones y otras novedades al respecto.
Después de todo, la ciudad de Troya – como iRecorder – no sobrevivió al ataque que logró invadirla. Aunque sus ataquen t’es eran heleno y no troyanos, el nombre del malware nos habla de destrucción total.
Para acceder a Conexión Segura puede usar este enlace: https://open.spotify.com/episode/7369TdwSZRTmZRC7PikhXd