A descoberta foi feita pela empresa de segurança ESET e diz respeito ao app iRecorder Screen Recorder, lançado em 2021 como um aplicativo comum, que permitia gravar os ecrãs dos dispositivos Android.
Exatamente 11 meses depois do seu lançamento, em agosto de 2022, o software foi atualizado na Google Play para uma nova versão que ganhou a polêmica funcionalidade, que não só capta o som do ambiente, como também poderia acessar arquivos confidenciais armazenados no dispositivo.
Segundo os pesquisadores, a implementação das funções de espionagem aconteceu a partir da utilização de um código AhMyth, um Trojan de acesso remoto presente em várias apps Android nos últimos anos.
As pesquisas feitas retornaram o mesmo resultado: o iRecorder gravava um minuto de áudio e enviava para um servidor criptografado. “Durante a minha análise, o AhRat foi ativamente capaz de exfiltrar dados e gravar o microfone (algumas vezes, removi o aplicativo e reinstalei, e o aplicativo sempre se comportou da mesma forma)”, disse Lukas Stefanko, um dos pesquisadores envolvidos na descoberta.
No entanto, ao investigar Coffeeholic Dev, criador da app, pouca coisa foi encontrada. Na verdade, a empresa tem uma série de outros apps, embora nenhum tenha mostrado sinais de que representam qualquer ameaça. Apesar disso, o Google não removeu apenas o software iRecorder, mas também tudo relacionado à empresa de desenvolvimento.
Não é exatamente uma novidade a aparição de um malware nos servidores do Google. Quando isso acontece, a empresa agradece ao pesquisador que encontrou a falha e a retira do ar. No entanto, o curioso aqui é que temos uma aplicação que regista ativamente uma base ampla de vítimas e envia o seu áudio para invasores.
Por fim, Stefanko cita que não foi possível determinar se o iRecord faz parte de uma campanha ativa de espionagem, já que não foi possível determinar a sua finalidade.
“Infelizmente, não temos nenhuma evidência de que o aplicativo foi enviado a um grupo específico de pessoas e, a partir da descrição da app e de pesquisas adicionais (possível vetor de distribuição do aplicativo), não está claro se um grupo específico de pessoas foi direcionado ou não”, revelou.