New AhRat Android malware hidden in app with 50,000 installs
นักวิจัยมัลแวร์ของ ESET พบ Remote Access Trojan (RAT) ตัวใหม่บน Google Play Store ซึ่งซ่อนอยู่ในแอปบันทึกหน้าจอ Android ที่มีการติดตั้งหลายหมื่นครั้ง แม้ว่าแอปนี้จะถูกเพิ่มเข้ามาใน Play Store เป็นครั้งแรกในเดือนกันยายน 2021 แต่แอป iRecorder - Screen Recorder นั้นน่าจะถูกฝังโทรจันผ่านการอัปเดตที่เป็นอันตรายซึ่งเผยแพร่เกือบหนึ่งปีต่อมาในเดือนสิงหาคม 2022 ชื่อของแอปช่วยให้ขออนุญาตบันทึกเสียงและเข้าถึงไฟล์บนอุปกรณ์ที่ติดไวรัสได้ง่ายขึ้น เนื่องจากคำขอตรงกับความสามารถที่คาดหวังของเครื่องมือบันทึกหน้าจอ ก่อนที่จะถูกลบแอปดังกล่าวมีการติดตั้งมากกว่า 50,000 ครั้งใน Google Play Store ทำให้ผู้ใช้ติดมัลแวร์ และหลังจากมีการแจ้งเตือนเกี่ยวกับพฤติกรรมที่เป็นอันตรายของ iRecorder ทีมรักษาความปลอดภัยของ Google Play ได้ลบแอปนี้ออกจาก Play Store
มัลแวร์ดังกล่าวมีชื่อว่า AhRat โดย ESET อ้างอิงจาก Android RAT แบบโอเพ่นซอร์สที่รู้จักกันในชื่อ AhMyth ซึ่งมีความสามารถที่หลากหลาย เช่น การติดตามตำแหน่งอุปกรณ์ที่ติดไวรัส ขโมยบันทึกการโทร รายชื่อติดต่อ และข้อความ ส่งข้อความ SMS ถ่ายภาพ และบันทึกเสียง จากการตรวจสอบนักวิจัยมัลแวร์ของ ESET พบว่าแอปบันทึกหน้าจอที่เป็นอันตรายนั้นใช้ความสามารถส่วนย่อยของ RAT เท่านั้นเนื่องจากใช้เพื่อสร้างและแยกเอาการบันทึกเสียงรอบข้างออก และขโมยไฟล์ที่มีนามสกุลเฉพาะ ซึ่งบอกใบ้ถึงกิจกรรมการจารกรรมที่อาจเกิดขึ้น
นี่ไม่ใช่ตัวอย่างแรกของมัลแวร์ Android ที่ใช้ AhMyth ซึ่งแทรกซึมเข้าไปใน Google Play Store ESET ยังได้เผยแพร่รายละเอียดในปี 2019 เกี่ยวกับแอป AhMyth-trojanized อีกแอปหนึ่ง ซึ่งสามารถหลอกกระบวนการตรวจสอบแอปของ Google สองครั้งด้วยการปลอมแปลงเป็นแอปสตรีมวิทยุ ก่อนหน้านี้ AhMyth แบบโอเพ่นซอร์สได้รับการว่าจ้างจาก Transparent Tribe หรือที่รู้จักในชื่อ APT36 ซึ่งเป็นกลุ่มจารกรรมทางไซเบอร์ที่เป็นที่รู้จักจากการใช้เทคนิค social engineering ในการโจมตีอย่างกว้างขวางและกำหนดเป้าหมายรัฐบาลและองค์กรทางทหารในเอเชีย
https://www.bleepingcomputer.com/news/security/new-ahrat-android-malware-hidden-in-app-with-50-000-installs/