قامت Google مؤخرًا بإزالة تطبيق Android مصاب بفيروس طروادة ، تم تثبيته على أكثر من 50000 جهاز ، من متجر Play. وفقًا لشركة الأمان التي اكتشفت حصان طروادة ، تم تحميل التطبيق لأول مرة من قبل المطور في عام 2021 ثم تم إصابته بشفرة ضارة بعد عام. كان التطبيق أيضًا قادرًا على استخراج ملفات المستخدمين وتحميلها عن طريق اكتشاف امتدادات الصوت والفيديو وصفحات الويب. أثناء إزالة التطبيق من متجر Play ، سيتعين على المستخدمين الذين قاموا بتنزيله إزالة التطبيق يدويًا من أجهزتهم.
وفقًا لتقرير نشره باحثو ESET ، تم تحميل تطبيق iRecorder على متجر Play لأول مرة في سبتمبر 2019 ، دون أي وظائف ضارة. بعد ما يقرب من عام ، أصيب التطبيق بـ AhMyth Android RAT (الوصول عن بعد طروادة) في متغير أطلق عليه الباحثون اسم AhRat. المستخدمون الذين قاموا بتحديث التطبيق أو تنزيله لأول مرة منذ أغسطس 2022 سيكون لديهم التطبيق المصاب على أجهزتهم.
حصل تطبيق iRecorder على أكثر من 50000 عملية تنزيل على متجر Google Play
ائتمان الصورة: لقطة شاشة / ESET
على الرغم من أن الإصدار الأولي من التطبيق لا يحتوي على أي وظائف ضارة ، إلا أن ESET تنص على أنه تم تحديثه لاحقًا برمز سمح له بالانخراط في سلوك ضار ، بما في ذلك تسجيل الصوت المحيط والصوت من خلال استخدام ميكروفون الهاتف. يمكن بعد ذلك تحميل هذه التسجيلات إلى خادم القيادة والسيطرة (C&C) الخاص بالمهاجم. كان التطبيق أيضًا قادرًا على استخراج الملفات ذات الامتدادات المحددة ، مثل الفيديو والصوت والصور وصفحات الويب والمستندات والملفات المضغوطة.
يوضح باحثو ESET أن AhMyth RAT هي أداة قوية للغاية يمكنها إخراج الرسائل النصية وسجلات المكالمات وجهات الاتصال على هاتف المستخدم أثناء تسجيل الصوت والتقاط الصور وتتبع موقع الجهاز وإنشاء قائمة بجميع الملفات الموجودة على الهاتف الذكي .
يشير سلوك التطبيق إلى أنه يمكن استخدام AhRat trojan كجزء من حملة تجسس ، وفقًا للباحثين ، الذين لم يتمكنوا من عزوها إلى أي مجموعة تهديد مستمر متقدم (APT). وفي الوقت نفسه ، تقول إسيت أن AhMyth RAT الأصلي المفتوح المصدر كان يستخدم سابقًا من قبل مجموعة التجسس الإلكتروني APT36 – المعروفة باسم القبيلة الشفافة – لاستهداف المنظمات الحكومية والعسكرية في جنوب آسيا.
بعد أن قامت ESET بوضع علامة على الرمز الضار في تطبيق iRecorder لـ Google ، تمت إزالة التطبيق من متجر Google Play. تم تنزيل التطبيق بالفعل 50000 مرة ، وفقًا للقائمة وقت إزالته. سيتعين على المستخدمين الذين قاموا بتثبيت التطبيق أو تحديثه بعد إصابته بإلغاء تثبيته يدويًا لإزالة التطبيق المصاب من هواتفهم الذكية.
