A Google Play Áruházból és az App Store-ból letölteni és telepíteni biztonságosan lehet különböző appokat, legalábbis az általános vélekedés ez, de egy biztonsági szakértő minden bizonnyal másképp vélekedne erről Többször találtak már veszélyes programokat a nagy piactereken, és most is sikerült egy biztonsági fenyegetést jelentő applikációt lefülelni.

Az ESET kutatócsapata fedezte fel a trójaival felvértezett Android alkalmazást, amit minden gond nélkül lehetett telepíteni a Play Áruházból, és olyan „funkcióval” is rendelkezett, melyről a fejlesztő mélyen hallgatott. iRecorder vagy ehhez nagyon hasonló néven több applikáció is fut, részben ezt használta ki annak érdekében, hogy észrevétlen tudjon maradni, és ne keltsen különösebb gyanút sem.

50 és 100 ezer közötti telepítési mutatóval rendelkezett csak a Play Áruházban a fertőzött szoftver, de más felületen is elérhető lehetett. Amikor eredetileg elérhetővé vált, akkor a képességeinek lajstromában még nem szerepelt, hogy kémprogramként működhessen. 2021. szeptember 19-én vált elérhetővé, és egy frissítéssel került bele a trójai.

Sajnos ez a jelenség nem ismeretlen a szakemberek számára, nagyon sok olyan szoftver van, amit a kiadásukat követően némi idő elteltével módosítanak úgy, hogy kártevőként üzemelhessen. Lényegében egy teljesen bevett gyakorlatról van szó. A szóban forgó applikációt egy 2022 augusztusában kiadott frissítéssel (1.3.8-as verzióval) módosították, és ekkor ruházták fel azzal a lehetőséggel, hogy képes legyen lehallgatni a felhasználókat.

A beszámoló szerint a majdnem egy éven át tisztán működő szoftverbe egy AhMyth Android RAT (remote access trojan) alapú rosszindulatú kódot rejtettek el az támadók. Azoknál, akiknél a fenti frissítés települt, automatikusan működésbe lépett a plusz „funkció”, ami azt csinálta, hogy 15 perces időintervallumokban készített egy hangfelvételt, ami 1 perces hosszúságú volt. Majd ehhez egy titkosított hivatkozást küldött vissza a fejlesztő szerverére, amivel a tartalmak távolról elérhetővé váltak.

Mostanra a Google eltávolította a szóban forgó applikációt, mivel az ESET felvette a kapcsolatot a keresőóriással, hogy a szükséges lépések megtörténhessenek. Az olyan applikációk, amik valamilyen adatrögzítésre szolgálnak, különösen nagy biztonsági problémát jelentenek álltalában, mivel ezek számára az emberek gyanútlanul adnak meg minden szükséges engedélyt. Hiába van már több fronton is védelem az Androidban az ilyen eredek elkerülésére.

Arról nem szólt a fáma, hogy például a kamera és mikrofon működésére figyelmeztető értesítési ikon láthatóvá vált-e, amikor az adott szoftver éppen hallgatózott. Ez mindenképpen érdekes lenne a biztonság szempontjából. Sajnos nagyon nehéz elkerülni az ilyen sebehetőségeket, tényleg csak az jelenthet némi megoldást, ha résen van az ember, rendszeresen figyeli a frissítéseket, felülvizsgálja az alkalmazásengedélyeket és nézi, hogy milyen appok és mikor futnak, hogyan bonyolítanak adatforgalmat.

Bízunk abban, hogy a Google a jövőben hatékonyabban tudja majd az ilyen eseteket felderíteni, már egy ideje nagyobb figyelmet szentel a frissítések felülvizsgálatára, de a jelek szerint ez kevés.