À l’origine, iRecorder était un enregistreur d’écran inoffensif pour Android. Mais une mise à jour l’a transformé en un outil d’espionnage à part entière.

L’iRecorder est arrivé pour la première fois sur le Google Play Store en tant qu’application d’enregistrement d’écran totalement inoffensive. Mais avec une mise à jour, le développeur a introduit clandestinement un cheval de Troie sur les appareils des utilisateurs. Cela écoute non seulement avec diligence le microphone, mais capte également des fichiers de toutes sortes. On ne sait toujours pas qui est réellement derrière l’attaque d’espionnage malveillante.

Une mise à jour malveillante a ensuite infecté iRecorder avec un logiciel malveillant

Les chercheurs en sécurité d’ESET ont découvert une application d’enregistrement d’écran malveillante appelée iRecorder disponible en téléchargement sur le Google Play Store, qui comptait plus de 50 000 installations en mars 2023. La première version de l’application est sortie le 19 septembre 2021, initialement sans aucune fonctionnalité malveillante.

Ce n’est qu’en août 2022 que le développeur Coffeeholic Dev aurait introduit clandestinement le RAT Android AhMyth (Remote Access Trojan) open source via une mise à jour vers la version 1.3.8. Depuis que l’acteur malveillant a apporté quelques ajustements au code source du malware, les chercheurs lui ont donné son propre nom : « AhRat”.

« L’AhRat distant est une adaptation de l’AhMyth RAT open source, ce qui signifie que les auteurs de l’application malveillante ont fait des efforts considérables pour comprendre le code de l’application et du backend, et éventuellement l’adapter à leurs propres besoins. »

Chercheurs ESET

iRecorder écoute et récupère les données

À l’origine, l’iRecorder était uniquement destiné à permettre à ses utilisateurs d’enregistrer le contenu de l’écran de leurs appareils Android. Cependant, après la mise à jour vers la version 1.3.8, le logiciel a commencé à enregistrer le bruit de fond via le microphone et à le transmettre à un serveur contrôlé par l’attaquant.

De plus, le logiciel malveillant exfiltre également des fichiers avec certaines extensions de nom de fichier. Cela inclut les images, les vidéos, les fichiers audio, les documents et les fichiers d’archives avec les extensions de fichier suivantes :

zip, rar, jpg, jpeg, jpe, jif, jfif, jfi, png, mp3, mp4, mkv, 3gp, m4v, mov, avi, gif, webp, tiff, tif, heif, heic, bmp, dib, svg, ai, eps, pdf, doc, docx, html, htm, odt, pdf, xls, xlsx, ods, ppt, pptx, txt

Les chercheurs supposent que l’application iRecorder fait partie d’une campagne d’espionnage plus large. Cependant, ils n’ont pas réussi à attribuer le code AhRat inclus à un groupe de hackers spécifique.

Les utilisateurs doivent agir

Google a retiré l’iRecorder du Play Store après un conseil des chercheurs d’ESET. Cependant, il peut être trouvé sur apkgk.com et éventuellement sur d’autres magasins d’applications alternatifs. Les utilisateurs qui ont encore l’application installée doivent la supprimer de leurs appareils dès que possible. Même s’il s’agit d’unfaire le ménage” version antérieure à août 2022, l’exécution d’une mise à jour pourrait entraîner une infection par le cheval de Troie AhRat.

Le développeur derrière l’application d’enregistrement d’écran escroc pour Android propose plus d’applications sur Google Play. Selon l’état actuel des connaissances, ceux-ci ne contiennent pas encore de code malveillant.

Cependant, il n’y a toujours aucune preuve que l’éditeur de l’application ait lui-même planté le cheval de Troie. Il a peut-être également été victime d’une cyberattaque, un autre acteur malveillant a donc injecté le code dans iRecorder. Selon le rapport ESET, il n’y a aucune preuve pour l’un ou l’autre scénario.

Tous les liens marqués d’un astérisque sont des liens affiliés. Si vous achetez des produits via ces liens, Tarnkappe.info recevra une petite commission. Il n’y a pas de frais supplémentaires pour vous car les prix des produits restent les mêmes. Si vous souhaitez soutenir financièrement l’équipe éditoriale d’une autre manière, consultez notre page de dons ou notre boutique en ligne.