Een screenrecorder-app met meer dan 50.000 downloads in Google Play veranderde in een jaar tijd van een normale recorder-app naar een kwaadaardige app. Het bleek dat de app stiekem elke 15 minuten audio in de buurt opnam en deze opnames vervolgens naar de app-ontwikkelaar stuurde.
Elke 15 minuten stiekem opnemen
Een recorder-app genaamd iRecorder Screen Recorder begon als een onschuldige app, maar werd bijna een jaar na de eerste release kwaadaardig. Dat meldt Ars Technica. De app werd voor het eerst uitgebracht in september 2021, maar na een update in augustus begon deze elke 15 minuten een minuut audio op te nemen en deze opnames via een versleutelde link door te sturen naar de server van de ontwikkelaar. Het hele verhaal is gedocumenteerd in een blogpost van Lukas Stefanko, een onderzoeker bij Essential Security tegen Evolving Threats (ESET).
In zijn laboratorium installeerde Stefanko de app herhaaldelijk geïnstalleerd op telefoons, en telkens was het resultaat hetzelfde: de app ontving een instructie om één minuut audio op te nemen en deze naar de command-and-control server van de aanvaller te sturen, in beveiligingskringen ook bekend als een C&C of C2. Vervolgens kreeg de app om de 15 minuten dezelfde instructie en dat voor onbepaalde tijd.
AhMyth
Stefanko meldde in zijn rapport dat de app in augustus 2022 is bijgewerkt met kwaadaardige code, “gebaseerd op de open-source AhMyth Android RAT (remote access trojan)”. Op het moment van rapportage en verwijdering uit de Play Store had de app al 50.000 downloads. Stefanko voegde eraan toe dat apps met AhMyth erin verstopt eerder ook al erin waren geslaagd om langs de filters van Google te komen.
Scam-apps die uit zijn op allerlei gevoelige gegevens van de gebruiker zijn helaas niets nieuws in zowel de app stores van Apple als Google. Kwaadaardige screenrecorders proberen hun zichtbaarheid in Google Play te vergroten met valse beoordelingen om zo meer downloads binnen te halen. En het rapport van Stefanko benadrukt nog een bijzonder lastig probleem: apps die aan de duistere kant belanden nadat je ze al een tijdje op je telefoon hebt staan. Die apps gebruiken dan eerder verleende machtigingen gebruiken om gevoelige informatie van je apparaat te verzamelen en deze naar de ontwikkelaar door te sturen voor kwaadwillige activiteiten.
Spionagedoeleinden?
Volgens Stefanko is het mogelijk dat iRecord deel uitmaakt van een actieve spionagegroep, maar tot nu toe is hij er niet in geslaagd om bewijs hiervoor te vinden. “Helaas hebben we geen bewijs dat de app naar een specifieke groep mensen is gestuurd, en op basis van de app-beschrijving en verder onderzoek is het niet duidelijk of een specifieke groep mensen het doelwit was”, schreef hij. “Het lijkt zeer ongebruikelijk, maar we hebben geen bewijs om het tegendeel te beweren.”
Deze specifieke app is verdwenen uit de Play Store, maar veel mensen zullen deze app nog op hun telefoon hebben staan. Verwijderen is dus her advies. Gelukkig werkt Google werkt aan maandelijkse meldingen die je informeren over apps die het datadelen van hun app hebben gewijzigd. Helaas maken deze meldingen onderdeel uit van Android 14, en dat is een Androidversie die momenteel nog wordt getest.

Reacties
Inloggen of registreren
om een reactie achter te laten
De app werkt toch niet meer als deze uit de app store is verwijderd? In dat geval begrijp ik de titel niet zo goed. Zo is het meer clickbaiterig. Terwijl het idee dat een app maandenlang dit heeft kunnen doen (en daarmee een titel) voor mij heftiger overkomt.
Oké, hoe kan het je microfoons gebruiken zonder rechten?
Het is een screen recorder app, dus om die te kunnen gebruiken moet je eerst rechten van o.a je mic geven
Dit soort meldingen om wijzigingen in gegevensbeleid te detecteren etc. zou niet enkel voor android14 moeten gelden, dit zou naar alle versies van android moeten komen, nadat het uitgebreid getest is. In feite zou zo’n structureel delen van gegevens (en verzenden van gegevens) ook gedetecteerd moeten kunnen worden door google play protect of dergelijke. Het is jammer dat functies mbt. privacy, beveiliging etc. vaak aan androidversies gebonden wordt, wat ik wel snap. Maar als je een oudere telefoon bezit, ben je dus niet veilig meer bezig en dan breng je het hele android-ecosysteem potentieel in gevaar. Maar niet iedereen wil ieder jaar een nieuw toestel kopen.
En jij denkt dat als dat straks uitkomt dat die gasten dan zien van. O jee nu kan ik mijn truckje niet meer doen want hij word ontrafelt door Android. Want zodra dat uitkomt hebben ze al weer wat anders klaar staan hoor. Het is net als met programma’s. Alles word gekraakt als je er mee op internet kan
Tja, het is in feite simpel: je holt als anti-virussoftware of beveiligingssoftwareprogrammeur altijd achter de feiten aan. Maar wat stel je dan voor? Niks doen?
Dat klopt want het virus moet er eerst zijn om er tegen te handelen dat is bij mensen precies het zelfde. Want je kan geen dingen oplossen die er niet zijn als er niemand ziek is???
Je kan in ieder geval proberen bij te blijven en je beveiligingssysteem zo veilig mogelijk maken en loops =herhaaldelijk acties uitvoeren op geautomatiseerde wijze detecteren en regelen dat een gebruiker hier op z’n minst weet van heeft.
Dat doe het bij mij automatisch. Alles wat ik binnen half word gestand dit mijn anti virus . Ik heb hem al een jaar of 4 en het bevalt mij prima . Al zeggen kennisen tegen mij dat het niet nodig is. Hou ik het liever gewoon zo dan weet ik zeker dat ik veilig ben