В рамках партнерства с Google App Defense Alliance компания Eset выявила опасное троянское приложение, доступное в официальном магазине Google Play. Вредоносная программа, получившая название AhMyth или AhRat, была скрыта в обновлении для безобидного на первый взгляд приложения iRecorder. Изначально этот софт не вызывал подозрений, однако спустя несколько месяцев после публикации разработчики выпустили обновление, содержащее шпионский функционал.
Описание
По данным Eset, приложение iRecorder после обновления начало демонстрировать вредоносное поведение, включая кражу пользовательских данных. В частности, троянец получил возможность извлекать аудиозаписи с микрофона устройства, а также красть файлы с определенными расширениями. Подобные действия указывают на то, что вредоносный код мог использоваться в рамках целенаправленной шпионской кампании.
Особенностью данного случая является тот факт, что изначально приложение не содержало вредоносных функций, что позволило ему пройти проверку Google Play Protect. Однако после выпуска обновления разработчики добавили в код опасные модули, что сделало программу инструментом для скрытого сбора данных.
На момент обнаружения троянца приложение iRecorder уже успело набрать более 50 000 загрузок. После уведомления от Eset Google оперативно удалил вредоносный софт из своего магазина. При этом специалисты отмечают, что вне Google Play данный троянец больше нигде не встречался, что может свидетельствовать о его узконаправленном использовании.
Эксперты по кибербезопасности обращают внимание на растущую тенденцию, когда злоумышленники публикуют в официальных магазинах приложений изначально безопасный софт, а затем добавляют вредоносный функционал через обновления. Это усложняет процесс выявления угроз, поскольку первоначальная проверка не всегда позволяет обнаружить потенциальные риски.
Google Play остается одной из самых защищенных платформ для загрузки приложений, однако случаи проникновения вредоносного ПО продолжают фиксироваться. В данном случае партнерская программа App Defense Alliance сыграла ключевую роль в своевременном обнаружении и устранении угрозы.
Eset рекомендует пользователям внимательно следить за разрешениями, которые запрашивают приложения, а также регулярно проверять список установленного ПО на наличие подозрительных программ. Кроме того, важно избегать загрузки софта из непроверенных источников и своевременно устанавливать обновления безопасности.
Данный инцидент в очередной раз демонстрирует, что даже официальные магазины приложений не являются абсолютно безопасными, и злоумышленники постоянно ищут новые способы обхода защитных механизмов. В таких условиях особую важность приобретает использование надежных антивирусных решений, способных выявлять скрытые угрозы на ранних этапах.
В заключение стоит отметить, что сотрудничество между крупными технологическими компаниями и антивирусными лабораториями, как в случае с Google и Eset, остается одним из наиболее эффективных способов противодействия киберугрозам. Однако ответственность за безопасность лежит не только на разработчиках и сервисах, но и на самих пользователях, которым необходимо проявлять бдительность при установке новых приложений.
Индикаторы компрометации
IPv4
- 13.228.247.118
- 34.87.78.222
Domains
- order.80876dd5.shop
Domain Port Combinations
- 80876dd5.shop:22222
SHA1
- 0e7f5e043043a57ac07f2e6ba9c5aee1399aad30
- c0ebcc9a10459497f5e74ac5097c8bd364d93430
- c73affaf6a9372c12d995843cc98e2abc219f162
- e97c7ac722d30cce5b6cc64885b1ffb43de5f2da
