Una app de Android grabó audios de los usuarios sin permiso durante casi un año

Investigadores de ESET, una compañía de software especializada en ciberseguridad, descubrieron que la aplicación de Android iRecorder Screen Recorder desarrolló un código malicioso, luego de una actualización en agosto de 2022.

Según explica el especialista de seguridad Lukas Stefanko en su blog, la aplicación estuvo disponible en Google Play a partir de septiembre de 2021 y tenía como función principal permitir la grabación de pantallas de los dispositivos Android. Este sistema cambió once meses después, cuando agregaron una nueva funcionalidad.

MIRA: Alertan de la existencia de unos 8,9 millones de celulares Android con malware preinstalado

Con la nueva versión, iRecorder Screen Recorder comenzó a grabar un minuto de audio cada 15 minutos. Estos sonidos circundantes captados desde el micrófono del dispositivo, según Stefanko, empezaron a ser cargados en el servidor de comando y control del atacante.”También puede filtrar archivos con extensiones que representan páginas web guardadas, imágenes, archivos de audio, video y documentos, y formatos de archivo utilizados para comprimir varios archivos desde el dispositivo”, detalló el especialista en el blog We Live Security.

Aunque no se pudo atribuir la aplicación a ningún grupo malicioso, los investigadores sugirieron que podría tratarse de una campaña de espionaje, teniendo en cuenta que las funcionalidades incluían extracción de grabaciones de micrófonos y robo de archivos de extensiones específicas.

El análisis del estudio reveló que el sistema de iRecorder tenía dos versiones de código malicioso basadas en AhMyth RAT, un tipo de malware que puede controlar de forma remota un dispositivo que haya sido infectado. La primera no contaba con modificaciones, mientras que la segunda personalizó el código y la comunicación entre el servidor C&C y la puerta trasera.

MIRA: Reportan que usuarios pagan por apps de ChatGPT en iOS y Android, pese a que no hay una oficial

Lukas Stefanko señala que el AhMyth RAT “es una herramienta potente, capaz de varias funciones maliciosas, incluida la extracción de registros de llamadas, contactos y mensajes de texto, la obtención de una lista de archivos en el dispositivo, el seguimiento de la ubicación del dispositivo, el envío de mensajes SMS, la grabación de audio y la toma de fotografías”.

Una vez los expertos de ESET encontraron el código malicioso en la aplicación, notificaron a Google.

El gigante tecnológico atendió a la alerta de la compañía y, en consecuencia, eliminó iRecorder Screen Recorder de la tienda virtual. Sin embargo, esto no quiere decir que no se pueda encontrar en sitios no oficiales. Si usted aún tiene instalada la app a través de estos medios, lo recomendable es que la desinstale.

Hasta el momento, los analistas no han encontrado rastro de este código malicioso en otras aplicaciones de Google Play con desarrollador de iRecorder. Aunque esto no garantiza que no puedan hacerlo en el futuro.

El descubrimiento de los expertos de ESET dejó al descubierto que una aplicación legítima puede convertirse en maliciosa con el paso de los meses. En Android 11 y versiones superiores la hibernación es una estrategia que se ha implementado para este tipo de acciones maliciosas.

GDA / Valeria Castro Valencia / El Tiempo / Colombia