Az ESET kutatói felfedeztek egy trójai Android alkalmazást, amelyet több mint 50 000 alkalommal töltöttek le a Google Play áruházból. Az iRecorder – Screen Recorder nevű alkalmazás eredetileg 2021. szeptember 19-én jelent meg az áruházban. A rosszindulatú funkciók csak később kerültek az alkalmazásba, valószínűleg az 1.3.8-as verzióban, amely 2022 augusztusában jelent meg először.
Az iRecorder ártalmatlan verziójához hozzáadott rosszindulatú kód a nyílt forráskódú egy távoli hozzáférést biztosító trójai programon (AhMyth Android RAT) alapul.
Amellett, hogy a rosszindulatú iRecorder alkalmazás képernyőfelvételt képes készíteni az eszközről, jogtalanul hozzáfér a telefon mikrofonjához, továbbá az így elkészült felvételeket képes továbbítani a Command-and-Control (C&C) központi szervernek.
Emellett a mentett weboldalakat, képeket, hang-, videó- és dokumentumfájlokat, valamint meghatározott kiterjesztéssel rendelkező fájlokat is képes kiszivárogtatni az eszközről. Ez a viselkedés arra utalhat, hogy a program egy kémkedési kampány része, azonban az ESET kutatói az alkalmazást mindeddig nem tudták egy konkrét rosszindulatú csoporthoz rendelni.
Az AhRat malware képességei a MITRE ATT&CK keretrendszer alapján:
| Taktika | ID | Név | Leírás |
|---|---|---|---|
| Persistence
Perzisztencia |
T1398 | Boot or Logon Initialization Scripts | AhRat receives the BOOT_COMPLETED broadcast intent to activate at device startup. |
| T1624.001 | Event Triggered Execution: Broadcast Receivers | AhRat functionality is triggered if one of these events occurs: CONNECTIVITY_CHANGE, or WIFI_STATE_CHANGED. | |
| Discovery
Felfedezés |
T1420 | File and Directory Discovery | AhRat can list available files on external storage. |
| T1426 | System Information Discovery | AhRat can extract information about the device, including device ID, country, device manufacturer and mode, and common system information. | |
| Collection
Adatok megszerzése, hozzáférése |
T1533 | Data from Local System | AhRat can exfiltrate files with particular extensions from a device. |
| T1429 | Audio Capture | AhRat can record surrounding audio. | |
| Command and Control
Irányítás fenntartása |
T1437.001 | Application Layer Protocol: Web Protocols | AhRat uses HTTPS to communicate with its C&C server. |
| Exfiltration
Szivárogtatás |
T1646 | Exfiltration Over C2 Channel | AhRat exfiltrates stolen data over its C&C channel. |