WeLiveSecurity指出,2021年9月19日於Google Play商店上架的安卓(Android)App「iRecorder – Screen Recorder」,是一款可以進行螢幕錄影的App,其剛剛上架之時並沒有被發現異常,然而過了1年後,其於2022年8月推出的1.3.8更新版本,卻包含惡意木馬程式AhMyth Android RAT。截至2023年3月止,iRecorder – Screen Recorder已經被安裝超過5萬次。
WeLiveSecurity指出,很少有App先以合法的版本上架後,再等待1年的時間轉為惡意程式。如果用戶在2022年8月前安裝了iRecorder – Screen Recorder,之後可能就會在更新軟體時,於未經授權的情況下導致資訊外流。
WeLiveSecurity透露,iRecorder – Screen Recorder會透過用戶的手機麥克風錄製音訊,然後上傳至由攻擊者控制的服務器,還會從設備中竊取用戶保存的網頁、圖片、音訊、影片甚至是文件等不同檔案。
WeLiveSecurity指出,利用麥克風錄音或是刻意竊取特定領域文件的App,極有可能就是間諜App,不過目前尚無法確定iRecorder – Screen Recorder是在替哪個特定組織工作。而就在WeLiveSecurity發現這項疑慮後便通報Google,Google也已經將iRecorder – ScreenRecorder下架。
iRecorder的開發商還有在Google Play商店中提供其他款App,包括iRecorder - Mp3 voice recorder、iRecorder -Video Game Recorder等,不過目前這些其他App都不含惡意程式。也不排除可能是外部有心人士將惡意程式植入到iRecorder – Screen Recorder中。
雖然iRecorder – Screen Recorder的例子讓人毛骨悚然,不過WeLiveSecurity指出,幸運的是現在安卓11以上的系統,會將久未使用的App處於休眠狀態,並重置該App的運行權限,防止惡意程式擴散。
