Imagine carregar um aplicativo no seu telefone Android da Google Play Store que começou como um aplicativo legítimo, mas logo conseguiu ligar remotamente o microfone do seu telefone e gravar som, conectar-se a um servidor remoto e fazer upload dos arquivos de áudio coletados, e mais. De acordo com
Lucas Stefankoum pesquisador da empresa de segurança cibernética ESET (via
Ars Technica), esta é a verdadeira história de um aplicativo chamado iRecorder Screen Recorder, que obteve mais de 50.000 instalações na Play Store.
O aplicativo estreou na Google Play Store em setembro de 2021 e quando a versão 1.3.8 foi lançada em agosto de 2022, adicionou alguns recursos maliciosos. Lembre-se de que esses recursos não foram adicionados ao aplicativo por quase um ano depois que o iRecorder apareceu inicialmente na Play Store. A atualização permitiu que o aplicativo desligasse remotamente o microfone do telefone Android que tinha o aplicativo instalado, gravasse áudio, conectasse a um servidor vinculado ao invasor e carregasse os arquivos de áudio e outros arquivos confidenciais que estavam sendo mantidos no telefone.
Quando o pesquisador Stefanko instalava o aplicativo, ele recebia uma instrução para gravar áudio por um minuto e enviá-lo ao servidor de comando e controle (C&C) do invasor. O aplicativo recebia essas instruções a cada 15 minutos. Stefanko disse que é possível que as ações maliciosas do aplicativo iRecord atualizado façam parte de uma campanha de espionagem ativa, mas não tem certeza se esse é o caso.
Quase um ano depois de estrear na Play Store, uma atualização trazia esse app gravando suas conversas e enviando para um servidor remoto
Stefanko escreve: “Infelizmente, não temos nenhuma evidência de que o aplicativo foi enviado para um grupo específico de pessoas e, a partir da descrição do aplicativo e de pesquisas adicionais (possível vetor de distribuição do aplicativo), não está claro se um grupo específico de pessoas foram visadas ou não. Parece muito incomum, mas não temos evidências para dizer o contrário.”
O desenvolvedor vinculado ao aplicativo na Google Play Store é “Coffeeholic Dev”, e o Google não apenas removeu o iRecorder Screen Recorder da Play Store, mas também removeu outros aplicativos da Google Play Store criados pelo desenvolvedor.
Lembre-se de que só porque o Google removeu um aplicativo da Play Store, isso não significa que o aplicativo foi removido do seu telefone se você instalou o iRecorder ou qualquer outro aplicativo criado por Coffeeholic Dev antes de serem removidos. Se você encontrar iRecorder ou qualquer aplicativo criado por Coffeeholic Dev em seu telefone, certifique-se de desinstalá-lo de seu aparelho imediatamente.