知名螢幕錄製Android App內含RAT會監看用戶竊取文件

安全研究人員發現一款下載超過5萬次的Android螢幕錄製App iRecorder內含木馬程式，會暗中錄製用戶環境及竊取其手機檔案。

iRecorder在2021年9月首次上架Google Play，安全廠商ESET研究人員Lukas Stefanko指出當時還不包含惡意程式，但似乎到了2022年8月的1.3.8版時就開始內藏禍心，研究人員將該惡意程式命名為AhRat，是以開源Android RAT AhMyth為基礎改寫的版本。截至今年3月，iRecorder下載次數超過5萬次。

圖片來源_ESET

內含AhRat的iRecorder除了會行使合法的螢幕錄製功能，還會存取用戶手機的麥克風，錄下周遭環境的聲音，再上傳到攻擊者的C&C伺服器。它還會以特定附檔名外傳手機儲存的網頁、圖片、影音及文件檔、壓縮檔等等。

研究人員相信這是一樁大規模間諜行動的一部分，但還未掌握確切行為組織的證據。AhRAT的源頭AhMyth曾被Transparent Tribe組織使用，後者以善用社交工程手法及瞄準南亞政府及軍事組織聞名，但研究人員無法斷定AhRAT和該組織的關聯。

在接獲安全廠商通報後，Google已將iRecorder下架。

目前研究人員僅發現一例iRecorder被感染AhMyth變種的案例，但是AhMyth早已經染指過Google Play Store其他Android App，包括2019年的嵌入廣播串流App Radio Balouch/RB Music，並二度成功躲過Google審查上架。

至於iRecorder為何藏有RAT程式而未被發現，開發商尚未回應。但研究人員表示，該廠商提供的其他Android App並沒有惡意程式碼。