Téléchargée plus de 50.000 fois sur le Play Store depuis septembre 2021, iRecorder Screen Recorder se présente comme une application inoffensive permettant aux utilisateurs d’enregistrer l’écran de leurs appareils Android. Une mise à jour onze mois plus tard a ajouté une fonctionnalité radicalement nouvelle et problématique : l’app a été dotée de la capacité de déclencher à distance le microphone du smartphone pour enregistrer du son, bien sûr sans l’autorisation de l’utilisateur. L’app se connecte ensuite à un serveur contrôlé par un hacker, puis envoie l’audio enregistré et d’autres fichiers sensibles stockés sur l’appareil.
De l’app utile à l’outil d’espionnage à grande échelle
Ces fonctions d’espionnage mis au jour par Lukas Stefanko, un chercheur en sécurité de la société ESET, ont été implémentées en utilisant le code de AhMyth, un cheval de Troie open source qui a été intégré à plusieurs autres applications Android au cours des dernières années. Une fois le Trojan ajouté à iRecorder, tous les utilisateurs de l’application ont reçu des mises à jour permettant à leurs téléphones d’enregistrer de l’audio à distance et de transférer ces données à un serveur désigné par le développeur via un canal chiffré. Ce nouveau cheval de Troie modifié présent dans iRecorder a été baptisé AhRat.
Selon Lukas Stefanko, le malware a reçu pour instruction d’enregistrer une minute d’audio toutes les 15 minutes et de l’envoyer au serveur command & control (C&C) de l’attaquant. La découverte d’une application malveillante qui enregistre activement un si grand nombre de victimes et envoie leur audio aux pirates est assez inhabituelle. Le chercheur suggère qu’iRecord pourrait faire partie d’une campagne d’espionnage active, mais il n’a pas encore pu déterminer si c’est le cas.
Stefanko a également remarqué que les appareils infectés par AhRat recevaient des ordres pour exfiltrer des fichiers avec des extensions représentant des pages web, des images, de l’audio, de la vidéo et des fichiers de documents. Les fichiers exfiltrés étaient limités à une taille de 20 Mo, mais cela représente tout de même beaucoup de données.
« La recherche sur AhRat sert de bon exemple de la façon dont une application initialement légitime peut se transformer en une application malveillante, même après de nombreux mois, espionnant ses utilisateurs et compromettant leur vie privée », écrit le chercheur. « Il est possible que le développeur de l’application ait eu l’intention de se constituer une base d’utilisateurs avant de compromettre leurs appareils Android par le biais d’une mise à jour ou qu’un acteur malveillant ait introduit ce changement dans l’application ; jusqu’à présent, nous n’avons aucune preuve de l’une ou l’autre de ces hypothèses ».
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
