ESET: Android App ‘iRecorder – Screen Recorder’ Trojanized with AhRat
2023/05/23 InfoSecurity — デジタルの世界では、今日には便利なものが、明日には有害になることがある。残念ながら、それが iRecorder – Screen Recorder で起こってしまった。50,000 万件以上のインストール数を誇る、この画面録画用 Android アプリは、2021年9月に正規のアプリとして発売されたものだ。しかし、いまの iRecorder には、AhMyth をベースにした、新たな Android RAT (Remote Access Trojan) が仕込まれている。このオープンソースのリモート管理ツールにより、Android デバイスからのデータ・アクセスに使用できることが、サイバーセキュリティ・ベンダーである ESET により、2023年5月23日に判明した。
ESET の研究者たちは、この RAT を AhRat と呼んでいる。それにより、特定の拡張子を持つファイルや、マイクからの録音データを流出させ、攻撃者の Command and Control (C2 サーバ) にアップロードできる。この悪意のコードは、2022年8月に提供が始まった iRecorder Ver 1.3.8 の段階で、忍び込んだ可能性が高いという。
ESET の研究者たちが指摘するのは、悪意の Android アプリは数多く存在するが、正規アプリに悪意のあるコードを追加することは、きわめて珍しいという点だ。同社のレポートには、「このアプリケーションで特定される悪意の動作は、スパイ活動への関与を潜在的に示している」と記されている。
AhMythは、ソーシャルエンジニアリング技術を多用し、南アジアの政府機関や軍事組織を標的とする、サイバー諜報グループ APT36 (Transparent Tribe) により使用されてきた。
しかし、研究者たちは、「現時点のサンプルを、特定のグループに帰属させることはできず、それらが既知の APT グループにより生成されたことを示す証拠も発見できていない」と主張している。
Google Play のセキュリティチームは、Google App Defense Alliance のメンバーである ESET からの通知を受けて、このアプリを同ストアから削除した。
その一方で、iRecorder の開発者たちは、「このアプリの提供が、代替/非公式の Android マーケットで行われている点に注意が必要だ。また、当社の他のアプリも Google Play で提供されているが、それらには悪意のコードは含まれていない」と述べている。
どのような手口で、iRecorder を改ざんしたのでしょうか?2022年8月に提供が始まった Ver 1.3.8 の段階で、忍び込んだ可能性が高いとのことですが、ひょっとすると OSS リポジトリから、マルウェア化したパッケージなどが取り込まれた可能性もありますね。この問題、感染経路に関する続報がほしいですね。よろしければ、Google Play で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.