ما تحتاج إلى معرفته
- تبين أن تطبيق تسجيل الشاشة الشرعي على متجر Play هو برنامج تجسس بعد تلقي تحديث ضار.
- تم العثور على تطبيق تسجيل شاشة iRecorder يسجل الصوت وإرسال البيانات إلى الخوادم البعيدة كل 15 دقيقة.
- لفت باحث أمني انتباه Google إلى النشاط الضار للتطبيق ، مما أدى إلى إزالة التطبيق من متجر Play.
تطور تطبيق تسجيل الشاشة الذي بدا بريئًا خلال عامه الأول على متجر Play إلى برنامج تجسس ، يسجل المستخدمين سراً كل 15 دقيقة ويرسل بيانات صوتية إلى خادم المطور.
تم توثيق هذا النشاط الضار بواسطة الباحث في ESET Lukas Stefanko ، الذي كتب في منشور مدونة (عبر Ars Technica) أن أكثر من 50000 شخص قاموا بتنزيل التطبيق المعروف باسم iRecorder – Screen Recorder. تم إدراج التطبيق ، الذي تم تصميمه لتسجيل شاشة الجهاز ، في متجر Play في 19 سبتمبر 2021 ، وعمل بشكل طبيعي مثل أي تطبيق آخر.
ومع ذلك ، بعد تلقي تحديث في أغسطس 2022 (الإصدار 1.3.8) ، اكتسب التطبيق ميزات ضارة جعلته يمثل تهديدًا للمستخدمين. يبدو أن التحديث تسلل إلى بعض الأكواد الخبيثة المخصصة بناءً على AhMyth Android RAT (الوصول عن بعد طروادة) ، والذي سمي لاحقًا AhRat.
أبلغت ESET Google على الفور بالنتائج التي توصلت إليها ، ومنذ ذلك الحين تمت إزالة تطبيق iRecorder من Google Play. من ناحية أخرى ، لا يزال تطبيق طروادة يشكل تهديدًا خطيرًا لأولئك الذين قاموا بتثبيته على هواتفهم ، لأنه يمنح الوصول إلى الملفات ويسمح بالتسجيل الصوتي دون علمهم.
وفقًا لـ ESET ، يستخرج التطبيق تسجيلات الميكروفون ويسرق الملفات ذات الامتدادات المحددة لصفحات الويب المحفوظة والصور والصوت والفيديو والمستندات. ثم تم نقل هذه الملفات إلى خادم القيادة والسيطرة.
وأشارت الشركة الأمنية إلى أن هذا النشاط الخبيث له آثار محتملة لحملة تجسس ، على الرغم من أنها أضافت أنها “لم تكن قادرة على عزو التطبيق إلى أي مجموعة ضارة معينة”.
لحسن الحظ ، وضعت Google بالفعل عددًا من الإجراءات لمكافحة هذه الإجراءات الضارة منذ Android 11. تعمل ميزة الأمان هذه على إسبات التطبيقات التي كانت غير نشطة لعدة أشهر ، وإعادة تعيين أذونات وقت التشغيل الخاصة بها. بالإضافة إلى ذلك ، تنبهك تحديثات أمان Android من Google الآن إلى ممارسات مشاركة البيانات غير المنتظمة للتطبيق ، إن وجدت ، من خلال إشعار شهري. تم تجهيز بعض تطبيقات الأمان المفضلة لدينا أيضًا بميزات لإيقاف هجمات البرامج الضارة.