Un equipo de expertos en ciberseguridad volvió a alertar a la comunidad sobre una popular app de grabación de pantalla que esconde un software malicioso capaz de grabar en secreto las conversaciones de los usuarios.
Se trata de la aplicación iRecorder – Screen Recorder, que había estado disponible en la tienda Google Play desde 2021 y contaba con más de 50.000 descargas e instalaciones.
Conocida solo como iRecorder, la app ofrecía funciones básicas para grabar la pantalla de dispositivos Android. Sin embargo, en agosto de 2022, una actualización maliciosa le dio insólitas y peligrosas capacidades que vulneraban la privacidad de los usuarios.
Luego de actualizarse, la aplicación podía activar el micrófono del dispositivo sin el consentimiento del usuario, grabar en secreto las conversaciones del entorno durante 60 segundos cada 15 minutos y subir archivos almacenados en el dispositivo a servidores externos sin su autorización.
El equipo de investigación de ESET reveló que probablemente la versión 1.3.8 de la app fue la que inició el comportamiento malicioso de iRecorder, que involucraba la extracción de grabaciones del micrófono y el robo de archivos con extensiones específicas. Según los especialistas, eso es una indicación de su potencial participación en una campaña de espionaje.
¿Cómo funcionaba la app espía?
iRecorder ofrecía funciones básicas para grabar la pantalla del dispositivo Android, una tarea muy importante y necesaria para influencers, profesores y capacitadores, por ejemplo. Sin embargo, luego de la actualización, la app era capaz de grabar el audio circundante desde el micrófono del dispositivo y cargarlo en el servidor de comando y control (C&C) del atacante.
También podía capturar y enviar desde el dispositivo archivos con extensiones que representan páginas web guardadas, imágenes, archivos de audio, video y documentos, y formatos de archivo utilizados para comprimir.
“Es raro que un desarrollador cargue una aplicación legítima, espere casi un año y luego la actualice con un código malicioso”, explicó Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica. Y agregó: “El código malicioso que se agregó a la versión limpia de iRecorder se basa en el código abierto del RAT (troyano de acceso remoto) para Android AhMyth y ha sido personalizado en lo que llamamos AhRat”.
El malware de código abierto AhMyth fue empleado por Transparent Tribe, un grupo de ciberespionaje conocido por su uso extensivo de técnicas de ingeniería social y por apuntar a organizaciones gubernamentales y militares en el sur de Asia. Sin embargo, según ESET, no se pueden atribuir las muestras de malware actuales a ningún grupo específico, y no hay indicios de que hayan sido desarrolladas por un grupo conocido de amenazas persistentes avanzadas (APT).
¿Qué hacer si tengo iRecorder instalada?
- Si instalaste iRecorder en tu dispositivo Android, es recomendable desinstalarla de inmediato y seguir estos pasos:
- Cambiá las contraseñas de todas las cuenta y perfiles en los que hayas iniciado sesión desde el dispositivo.
- Revisá los permisos otorgados a otras aplicaciones en tu teléfono y eliminá las que no uses o que te parezcan sospechosas.
- Analizá tu dispositivo con un antivirus o una aplicación de seguridad.