The internet is for porn! Ein Infotainment- und Edutainmentabend

Von legaler App zur Spionage-Software: Die düstere Entwicklung von iRecorder für Android

Enthüllung: Die einst legale Android-App iRecorder hat sich in ein Spionagetool verwandelt, das heimlich persönliche Informationen sammelt. Nutzer, die die App herunterladen, ahnen nicht, dass ihre Aktivitäten überwacht werden. Was als unschuldiges Aufzeichnungswerkzeug begann, hat sich zu einer ernsthaften Bedrohung entwickelt.

Autor: Nick L.

Liebe Leserin, lieber Leser,

jeden Tag strömt eine Flut von Informationen auf uns ein. Doch wie viele davon sind wirklich wahr? Wie viele sind zuverlässig und genau? Wir bei Mimikama arbeiten hart daran, diese Fragen zu beantworten und dir eine Informationsquelle zu bieten, der du vertrauen kannst.

Aber um erfolgreich zu sein, brauchen wir deine Hilfe. Du hast es in der Hand, eine Welt voller vertrauenswürdiger Informationen zu schaffen, indem du uns jetzt unterstützt. Jede Unterstützung, ob groß oder klein, ist ein wichtiger Beitrag zu unserer Mission.

Werde Teil einer Bewegung, die sich für die Wahrheit einsetzt. Deine Unterstützung ist ein starkes Signal für eine bessere Informationszukunft.

❤️ Herzlichen Dank

Du kannst uns entweder via PayPal oder mittels einer Banküberweisung unterstützen. Möchtest Du uns längerfristig unterstützen, dann kannst Du dies gerne mittels Steady oder Patreon tun.

Forscher des IT-Sicherheitsherstellers ESET haben eine trojanische Version der beliebten Android-App „iRecorder – Screen Recorder“ in Google Play entdeckt und entfernen lassen. Die bösartige Anwendung konnte ohne Einwilligung des Nutzers über das Gerätemikrofon Audio aufzeichnen und Dateien stehlen.

Gerade Nutzern mit Android Versionen älter als 11 empfehlen die ESET Experten den 50.000 Anwendern, iRecorder – Screen Recorder zu löschen und eine neue Programmversion ab 2.0 zu installieren. Eine mobile Sicherheitslösung verstärkt zudem den Schutz vor Bedrohungen ähnlicher Art. Die App war im September 2021 als legitime App bei Google Play erhältlich, die schädliche Funktionalität wurde vermutlich im August 2022 hinzugefügt. Die Malware namens AhRat basiert auf dem quelloffenen AhMyth Android RAT (Remote Access Trojan). Die detaillierte Analyse haben die ESET Forscher auf dem Security-Blog Welivesecurity.de veröffentlicht.

Statt Screenrecording Spionage

Der bösartige iRecorder bietet nicht nur legitime Bildschirmaufzeichnungsfunktionen, sondern kann auch Umgebungsgeräusche über das Mikrofon des Geräts aufzeichnen und auf den Command-and-Control-Server des Angreifers hochladen. Die App ist zudem in der Lage, Dateien mit Erweiterungen, die gespeicherte Webseiten, Bilder, Audio-, Video- und Dokumentdateien sowie Dateiformate, die zur Komprimierung mehrerer Dateien verwendet werden, vom Gerät zu extrahieren.

Android-Benutzer, die eine frühere, legitime Version von iRecorder (vor Version 1.3.8) installiert hatten, setzten ihre Geräte unwissentlich AhRat aus, wenn sie die Anwendung anschließend manuell oder automatisch aktualisierten. Dies konnte auch passieren, selbst wenn sie der Anwendung keine weitere Genehmigung erteilt hatten.

„Glücklicherweise wurden in Android 11 und höheren Versionen bereits Präventivmaßnahmen gegen solche bösartigen Aktionen in Form von sogenannter App-Hibernation implementiert. Diese Funktion versetzt Apps, die mehrere Monate inaktiv waren, in einen Ruhezustand. Dabei werden ihre Laufzeitberechtigungen zurückgesetzt, so dass bösartige Apps nicht mehr wie beabsichtigt funktionieren können. Die schädliche Version von iRecorder wurde nach unserer Warnung aus Google Play entfernt. Dies bestätigt, dass ein mehrschichtiger Schutz wie ESET Mobile Security nach wie vor unerlässlich ist, um Geräte vor potenziellen Sicherheitsverletzungen zu schützen.“

ESET Forscher Lukáš Štefanko

Infizierte iRecorder-Version aus Google Play entfernt

Außer im Google Play Store hat ESET Research AhRat bislang nirgendwo in freier Wildbahn entdeckt. Es ist jedoch nicht das erste Mal, dass eine auf AhMyth basierende Android-Malware im offiziellen Store verfügbar ist: Bereits 2019 veröffentlichten ESET Forscher ihre Ergebnisse zu einer solchen trojanisierten App. Damals umging die auf den Grundlagen von AhMyth basierende Spyware zweimal den App-Verifizierungsprozess von Google als schädliche App, die Radiostreaming anbot. Die App iRecorder ist jedoch auch in alternativen und inoffiziellen Android-Märkten zu finden. Der Entwickler bietet auch andere Apps auf Google Play an, die jedoch keinen Schadcode enthalten.

Über AhRat

„Der Fall AhRat ist ein gutes Beispiel dafür, wie sich eine ursprünglich legitime App auch nach vielen Monaten in eine bösartige Anwendung verwandeln kann, die ihre Nutzer ausspioniert und deren Privatsphäre gefährdet. Es ist möglich, dass der App-Entwickler eine Nutzerbasis aufbauen wollte, bevor er deren Android-Geräte durch ein Update kompromittiert. Oder ein böswilliger Akteur hat diese Änderung in die App eingebracht. Bisher haben wir keine Beweise für eine dieser Hypothesen.“

Lukáš Štefanko

AhRat ist eine Anpassung der Open-Source-App AhMyth RAT. Die Autoren haben erhebliche Anstrengungen unternommen, um den Code sowohl der App als auch des Backends zu verstehen und ihn schließlich an ihre eigenen Bedürfnisse anzupassen.

Weitere Details finden Sie auf Welivesecurity.de

Quelle:

Eset

Das könnte auch interessieren:
Chat-GPT: Cyberkriminelle setzen auf Chat-GPT
Digitale Gauner: Wie Internet-Betrüger Identitäten stehlen
Facebook-Kettenbriefe aufs Korn genommen: Eine satirische Analyse

The Internet is for porn. Der ist zwar auch zumeist fake, aber das stört da niemanden. Anders bei Propaganda und Desinformationen - die könnten vielleicht mehr porn und weniger Fake vertragen. Begleiten Sie Andre Wolf von Mimimaka, Österreichs berühmteste Faktenchecker und bekannt aus der TV-Show "Fakt oder Fake, auf einer Reise durch die Welt der Fakes und Hoaxes, illustriert mit echten, teilweise völlig absurden und grotesken Beispielen. Immer aber mit der Erklärung, welche harmlosen oder auch gesellschaftlich gefährlichen Geschichten hinter den diversen Falschmeldungen stecken. Lautet am Ende die Conclusio: "The Internet is for Desinfo"? Oder kommen wir zurück zu den Wurzeln? An diesem Abend bekommen Sie die Antwort.
Fake-Jäger werden und unterstützen

Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.

2) Einzelne Beiträge (keine Faktenchecks) entstand durch den Einsatz von maschineller Hilfe und
wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)

Mit deiner Hilfe unterstützt du eine der wichtigsten unabhängigen Informationsquellen zum Thema Fake News und Verbraucherschutz im deutschsprachigen Raum

INSERT_STEADY_CHECKOUT_HERE

Anmeldung zum Mimikama-Newsletter

Mehr von Mimikama