Una aplicación está causando pavor entre los usuarios de Android, se trata de una "troyanización" que sufrió iRecorder en su última actualización. Esta herramienta había estado disponible en la tienda oficial de Google Play y contaba con más de 50 mil instalaciones. También conocida como Screen Recorder, se cargó inicialmente en la tienda sin funcionalidad maliciosa el 19 de septiembre de 2021. Sin embargo, la carga "virulienta" se implementó más tarde, probablemente en la versión 1.3.8 que estuvo disponible en agosto de 2022.
Se llama AhRat, y es un nuevo troyano de acceso remoto (RAT) para Android
Gracias al equipo de investigación de ESET —compañía especializada en la detección proactiva de amenazas— se descubrió a este nuevo troyano que infectó miles de dispositivos móviles. La ciber empresa reveló los detalles clave del estudio, y esto fue lo que nos compartió en cuatro puntos clave:
- ESET es socio de Google App Defense Alliance.
- Así pudo detectar una aplicación troyanizada en la Google Play Store.
- Este es un malware basado en AhMyth al que denominaron AhRat.
- Inicialmente, la aplicación iRecorder no tenía funciones maliciosas, sino que recibió una actualización con código malicioso varios meses después de su lanzamiento.
- Esto quiere decir que lleva infectando usuarios desde el agosto del 2022.
- El comportamiento malicioso específico de la aplicación involucra:
- La extracción de grabaciones del micrófono.
- El robo de archivos con extensiones específicas.
- Y todo ello indica su potencial participación en una campaña de espionaje.
- La aplicación maliciosa —con más de 50 mil descargas— ya se eliminó de Google Play después del reporte y desde entonces no se ha detectado actividad de AhRat en ningún otro lugar.
Este caso es sumamente raro y más en una app legítima
Camilo Gutierrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica, apuntó que es sumamente raro que un desarrollador cargue en una aplicación legítima un código malicioso, más si tuvo que esperar casi un año para actualizarla y llevar a cabo su objetivo. Cabe destacar que este malware se agregó a la versión limpia de iRecorder, que se basa en el código abierto del RAT (troyano de acceso remoto) para Android AhMyth y ha sido "bautizado" como: AhRat.
Además de este caso puntual, ESET no ha detectado actividad de AhRat en ningún otro lugar. "Sin embargo, no es la primera vez que detectamos malware para Android basado en AhMyth disponible en Google Play.", apuntó Camilo Gutierrez. En 2019 también se publicó una investigación sobre una aplicación troyanizada basada en el código de AhMyth. En ese entonces, se trataba de un spyware —un tipo de software que se instala en el ordenador sin que el usuario sepa— que logró eludir dos veces el proceso de verificación de aplicaciones de Google enmascarándose como una aplicación de "streaming de radio”.
¿Qué hacía iRecorder por los usuarios?
Además de proporcionar una funcionalidad de grabación de pantalla legítima —según indicaron desde ESET— la app maliciosa iRecorder puede grabar el audio circundante desde el micrófono del dispositivo y cargarlo en el servidor de comando y control (C&C) del atacante. También puede filtrar —desde el dispositivo— archivos con extensiones que representan:
- Páginas web guardadas.
- Imágenes.
- Archivos de audio.
- Video y documentos.
- Formatos de archivo utilizados para comprimir varios archivos.
El comportamiento malicioso específico de la aplicación sugiere que es parte de una campaña de espionaje. Sin embargo, no se pudo atribuir la aplicación a ningún grupo malicioso en particular.