Các nhà nghiên cứu bảo mật phần mềm tại ESET đã phát hiện trojan AhRat trong ứng dụng Android iRecorder, một công cụ ghi âm và quay màn hình với hàng chục nghìn lượt tải về trên Google Play Store.
Theo ESET, mặc dù iRecorder đã có mặt trên Google Play từ tháng 9/2021, nhưng ứng dụng này đã bị nhiễm mã độc thông qua một bản cập nhật vào tháng 8/2022. Với tên gọi nổi bật về chức năng ghi âm và quay màn hình, iRecorder dễ dàng thuyết phục người dùng cho phép quyền truy cập vào thiết bị.
Trước khi bị gỡ khỏi Play Store, iRecorder đã được hơn 50.000 lượt tải về, khiến nhiều người dùng Android có nguy cơ bị đe dọa bởi mã độc. Sau khi ESET cảnh báo, Google đã gỡ bỏ ứng dụng khỏi cửa hàng. Tuy nhiên, iRecorder vẫn có thể xuất hiện ở các market Android khác.
Theo phân tích của ESET, mã độc trong iRecorder là biến thể của AhRat, một Android Remote Access Trojan (RAT) mã nguồn mở. AhRat có khả năng theo dõi vị trí, đánh cắp thông tin liên lạc, tin nhắn và ảnh, ghi âm... Đặc biệt, AhRat trong iRecorder tập trung khai thác quyền truy cập để ghi âm, trích xuất dữ liệu và tệp tin, cho thấy mục đích gián điệp.
Đây không phải lần đầu mã nguồn mở AhMyth được khai thác để xâm nhập Google Play. Năm 2019, ESET cũng phát hiện một ứng dụng Android nhiễm AhMyth, lừa qua hai lần kiểm duyệt của Google bằng cách giả dạng ứng dụng phát radio trực tuyến.
“Trước đây, AhMyth đã được sử dụng bởi nhóm APT Transparent Tribe để tấn công các tổ chức chính phủ và quân sự Nam Á. Tuy nhiên, chúng tôi không đủ bằng chứng để chứng minh các biến thể mới của AhRat là của Transparent Tribe”, nhà nghiên cứu Lukas Stefanko của ESET nói.
Người dùng nên gỡ bỏ iRecorder ngay lập tức để tránh rủi ro mất an toàn thông tin. Đồng thời, các nhà phát triển ứng dụng Android cần nâng cao cảnh giác để ngăn chặn kịp thời các đe dọa từ việc RAT mã nguồn mở xâm nhập hệ sinh thái.
TH (phapluatxahoi.kinhtedothi.vn)
