Android-Spyware: Legitime App nach einem Jahr verwanzt
Die IT-Forscher von Eset haben eine Android-App entdeckt, die als nützliches Tool startete, rund ein Jahr später jedoch Spionagefunktionen nachgerüstet bekam.
Eine trojanisierte App mit mehr als 50.000 Installationen haben IT-Sicherheitsforscher von Eset aufgespürt. Die im Google-Play-Store erstmals im September 2021 eingestellte App iRecorder – Screen Recorder enthielt zunächst keine bösartigen Funktionen. Das änderte sich den Analysen zufolge im August 2022.
Dass eine zunächst legitime App im Google-Play-Store erst nach so langer Zeit mit Schadcode ausgerüstet wird, ist Esets Bericht zufolge äußerst selten. Die nachgerüsteten Schadfunktionen umfassen Mikrofon-Aufnahmen und das Stehlen von Dateien mit bestimmten Datei-Endungen, was auf eine Spionage-Kampagne deute. Inzwischen hat Google die App aus Google Play entfernt. Sie könnte in anderen App-Stores und .apk-Download-Archiven jedoch noch angeboten werden.
Android-Spyware: Auch legitime Funktionen
Die spätere Spyware iRecorder hat die Kernfunktionen tatsächlich angeboten. Ab August 2022 ergänzten die Programmierer bösartige Funktionen, um gespeicherte Webseiten, Bilder, Audio- und Video-Dateien, Dokumente sowie komprimierte Archivformate auszuschleusen und auf den Command-and-Control-Server (C&C) hochzuladen. Die Dateitypen umfassten zip, rar, jpg, jpeg, jpe, jif, jfif, jfi, png, mp3, mp4, mkv, 3gp, m4v, mov, avi, gif, webp, tiff, tif, heif, heic, bmp, dib, svg, ai, eps, pdf, doc, docx, html, htm, odt, pdf, xls, xlsx, ods, ppt, pptx und txt. Welche cyberkriminelle Vereinigung hinter der Malware steckt, konnte Eset hingegen nicht ausfindig machen.
Die App trägt den Namen iRecorder – Screen Recorder und stammt vom Entwickler Coffeeholic Dev. Im März kam sie laut Play-Store-Eintrag auf mehr als 50.000 Downloads. Die Bewertungen waren sehr positiv, die App kam auf 4,2 Sterne.
Die nachgerüsteten Schadfunktionen entstammten dem Open-Source Remote-Access-Toolkit (RAT) AhMyth. Erste bösartig modifizierte iRecorder-Versionen enthielten unveränderten AhMyth-Code. Später haben die Programmierer den Code jedoch angepasst, insbesondere den zur C&C-Kommunikation und für die Backdoor. Dieser Code ist den IT-Forschern zufolge bislang in keinen anderen Android-Apps aufgetaucht.
Unscheinbare Rechte
Aus dem AhMyth-RAT haben die Programmierer nur einige Funktionen entnommen, die zu den ohnehin angefragten Rechten der App passen. Eine Screenrecorder-App benötigt Rechte zum Aufnehmen von Ton sowie den Zugriff auf Fotos, Medien und Dateien auf dem Gerät. Das Mitschneiden etwa von Gesprächen mit dem Mikrofon benötigt dann etwa keine unerwarteten, neuen Zugriffsrechte.
Der Schadcode hat den C&C-Server alle 15 Minuten kontaktiert, um eine neue Konfigurationsdatei herunterzuladen. Darin sind die Befehle und Konfigurationsinformationen enthalten, etwa welche Daten hochgeladen werden sollen, welche Dateitypen entpackt, Dateigrößenbegrenzungen, Aufnahmedauern von Mikrofonmitschnitten oder die Intervalle zwischen den Mitschnitten. In den Konfigurationsdateien fanden die Malware-Analysten mehr Befehle, als in der Schadsoftware programmiert waren.
Da die App noch in anderen Quellen als dem Google-Play-Store zu finden sein könnten, sollten Nutzer von solchen Quellen prüfen, ob sie die Schadsoftware installiert haben und sie gegebenenfalls deinstallieren. Die Pakete tragen den Namen com.tsoft.app.iscreenrecorder.
Das russische IT-Sicherheitsunternehmen Kaspersky hatte erst vor kurzem eine Android-Malware im Google-Play-Store entdeckt, die auf mehr als 600.000 Installationen kam. Sie hatte als Schadfunktion heimlich kostenpflichtige Abonnements abgeschlossen.
Korrektur einer fehlerhaften Formulierung im zweiten Absatz.
(dmk)