В качестве партнера Google App Defense Alliance Eset обнаружили троянское приложение, доступное в Google Play Store; Eset назвали содержащуюся в нем вредоносную программу AhMyth - AhRat.
- Изначально приложение iRecorder не имело никаких вредоносных функций. Довольно необычным является тот факт, что приложение получило обновление, содержащее вредоносный код, спустя несколько месяцев после запуска.
- Специфическое вредоносное поведение приложения, включающее извлечение записей с микрофона и кражу файлов с определенными расширениями, потенциально указывает на его участие в кампании по шпионажу.
- Вредоносное приложение с более чем 50 000 загрузок было удалено из Google Play после нашего предупреждения; мы не обнаружили AhRat больше нигде в природе.
Indicators of Compromise
IPv4
- 13.228.247.118
- 34.87.78.222
Domains
- order.80876dd5.shop
Domain Port Combinations
- 80876dd5.shop:22222
SHA1
- 0e7f5e043043a57ac07f2e6ba9c5aee1399aad30
- c0ebcc9a10459497f5e74ac5097c8bd364d93430
- c73affaf6a9372c12d995843cc98e2abc219f162
- e97c7ac722d30cce5b6cc64885b1ffb43de5f2da
