Casi un año le ha tomado a Google desenmascarar esta app que, a través de código malicioso, utilizaba el micrófono de los móviles Android para grabar audio sin consentimiento y enviarlo a sus servidores. Su nombre es iRecorder - Screen Recorder, y dicha vulnerabilidad fue descubierta por ESET, durante una investigación liderada por Lukas Stefanko.

iRecorder - Screen Recorder no siempre fue un caballo de troya. De hecho, durante casi un año a partir de su lanzamiento en septiembre de 2021, funcionó exactamente para lo que decía: grabar la pantalla de los móviles Android. No obstante, en una actualización once meses más tarde, Stefanko detecta la primera inserción de código malicioso. Desde entonces, ha estado grabando un minuto e audio cada 15 minutos y enviándolo a los servidores de los atacantes.

No es la primera vez que iRecorder - Screen Recorder se convierte en el blanco de los investigadores. El primer reporte de código malicioso se remonta a octubre de 2022, cuando Igor Golovin, analista de seguridad, detectó la presencia del troyano AhMyth dentro de la app. Desde entonces, habían logrado evitar su detección por parte de Google y la Play Store, e incluso lanzaron una última actualización en febrero de este mismo año.

Stefanko cree que esta es una demostración perfecta de cómo una app totalmente legítima puede convertirse en un ente malicioso. Por lo visto, el tiempo que lleva en el mercado es irrelevante. Cualquier desarrollador podría crear una buena base de usuarios con la aplicación instalada para posteriormente aprovecharse de ellos. Por supuesto, después de haber obtenido los permisos que le permitirán llevar a cabo su plan macabro.

Decenas de miles de usuarios Android podrían haber sido víctimas de esta aplicación

Las investigaciones de ESET confirman que iRecorder puede grabar el audio circundante al dispositivo y subirlo a los servidores del atacante cada 15 minutos, pero no es lo único. Además, es capaz de subir directamente de tu móvil archivos con diversas extensiones. Desde páginas web almacenadas, hasta imágenes, e incluso vídeos y documentos varios.

¿Cómo han conseguido un ente malicioso tan multifacético? Pues bien, según explica la investigación, el comportamiento de este código está basado en RAT (Troyano de Acceso Remoto) AhMyth, específicamente diseñado para Android. Además, los desarrolladores consiguieron personalizar su propia versión del malware, denominándolo como AhRAT.

Es por eso que dotar a una app de acceso al micrófono o a archivos en el dispositivo no es recomendable, muchos lo saben. Es por eso que un software de Android dedicado a la grabación de pantalla era la tapadera perfecta para conseguir no llamar la atención. Así, una vez instalada, los desarrolladores podrían desplegar el código malicioso sin tener que solicitar permisos extra.

Tras la instalación de la aplicación maliciosa, se comportaba como una aplicación estándar sin ninguna solicitud especial de permisos adicionales que pudieran haber revelado sus intenciones maliciosas.

Lukas Stefanko

Para aplacar el problema, al menos en parte, Google está trabajando en una actualización que notificará a los usuarios, de forma mensual, qué apps cambiaron sus prácticas cuando se trata de compartir datos, y en qué fechas empezaron a hacerlo. Siempre y cuando sean capaces de detectarlo, claro.

Afortunadamente, Google ya ha eliminado iRecorder - Screen Recorder de su tienda de aplicaciones para Android. Sin embargo, al momento de hacerlo, dicha app ya acumulaba más de 50.000 descargas, por lo que la magnitud de esta violación de seguridad tiene consecuencias importantes.

Aquellas personas que nunca instalaron la app en su respectivo dispositivo Android no tienen de qué preocuparse. No obstante, aquellos que aún la tengan instalada en su dispositivo, lo recomendado es eliminarla inmediatamente.