Outre dans Google Play Store, ESET Research n’a détecté AhRat nulle part ailleurs. Cependant, ce n’est pas la première fois que des malwares Android basés sur AhMyth sont disponibles dans l’app store officiel. ESET a déjà publié des études sur une telle application en 2019. À l’époque, le logiciel espion développé sur les fondations d’AhMyth, avait contourné à deux reprises le processus de vérification des applications de Google, sous la forme d’une application malveillante permettant d’écouter la radio en streaming. L’application iRecorder est également disponible sur des marchés Android alternatifs et non officiels, et le développeur fournit également d’autres applications sur Google Play, mais elles ne contiennent pas de code malveillant.

« Le cas d’AhRat est un bon exemple de la façon dont une application initialement légitime peut se transformer en une application malveillante, même après de nombreux mois, pour espionner ses utilisateurs et compromettre leur confidentialité. Il est possible que le développeur de l’application ait eu l’intention de constituer une base d’utilisateurs avant de compromettre leurs appareils Android via une mise à jour ou qu’un acteur malveillant ait introduit cette modification dans l’application. Jusqu’à présent, nous n’avons aucune preuve quant à ces hypothèses, » explique Lukáš Štefanko, le chercheur chez ESET qui a découvert et étudié la menace.

AhRat est une adaptation du cheval de Troie d’accès à distance open source AhMyth, ce qui signifie que les auteurs de l’application malveillante ont investi des efforts considérables dans la compréhension du code de l’application et du back-end, pour finalement l’adapter à leurs propres besoins.

Outre la fonction légitime d’enregistrement d’écran, la version malveillante d’iRecorder est capable d’enregistrer le son environnant du microphone de l’appareil et le transmettre au serveur de commande et de contrôle de l’attaquant. Elle peut également exfiltrer de l’appareil des fichiers dont les extensions représentent des pages web sauvegardées, des images, des fichiers audio et vidéo, des documents, ainsi que des formats de fichiers utilisés pour compresser plusieurs fichiers.

Les utilisateurs d’Android qui ont installé une version antérieure d’iRecorder (avant la version 1.3.8), dépourvue de toute fonction malveillante, auraient exposé sans le savoir leur appareil à AhRat s’ils avaient ensuite mis à jour l’application manuellement ou automatiquement, même sans accorder d’autres autorisations.

« Heureusement, des mesures préventives contre de telles actions malveillantes ont déjà été mises en œuvre dans Android 11 et les versions ultérieures sous la forme d’une mise en veille des applications. Cette fonction met en hibernation les applications dormantes depuis plusieurs mois, réinitialisant ainsi leurs autorisations d’exécution et empêchant les applications malveillantes de fonctionner comme prévu. L’application malveillante a été retirée de Google Play après notre notification, ce qui confirme qu’une protection multicouche comme ESET Mobile Security reste essentielle pour protéger les appareils contre les failles de sécurité potentielles, » conclut M. Štefanko.

ESET Research n’a pas encore trouvé de preuves concrètes permettant d’attribuer cette activité à une campagne particulière ou à un groupe de pirates.