Μια εφαρμογή από το Google Play Store, που εγκαταστάθηκε σε Android smartphone ως νόμιμη, ενεργοποίησε εξ αποστάσεως το μικρόφωνο του τηλεφώνου και ηχογράφησε τον χρήστη, συνδέθηκε σε remote server και ανέβασε τα αρχεία ήχου που είχε συλλέξει.
Πρόκειται για true story που κοινοποίησε ο ερευνητής της εταιρείας κυβερνοασφάλειας ESET Lukas Stefanko και αφορά στην εφαρμογή order, η οποία συγκέντρωσε πάνω από 50.000 λήψεις από το Play Store.
Η εφαρμογή πρωτοκυκλοφόρησε στο Google Play Store τον Σεπτέμβριο του 2021 και όταν κυκλοφόρησε η έκδοση 1.3.8 τον Αύγουστο του 2022, πρόσθεσε ορισμένες κακόβουλες λειτουργίες. Άρα, ένα χρόνο μετά την κυκλοφορία της, η ενημέρωση της έδωσε τη δυνατότητα να ενεργοποιήσει εξ αποστάσεως το μικρόφωνο του τηλεφώνου Android στο οποίο είχε εγκατασταθεί, να εγγράψει ήχο, να συνδεθεί σε διακομιστή συνδεδεμένο με τον εισβολέα και να ανεβάσει τα αρχεία ήχου και άλλα ευαίσθητα αρχεία που διατηρούνταν στο τηλέφωνο.
Εγκαθιστώντας την εφαρμογή ο Stefanko, αυτή έλαβε μια οδηγία να εγγράψει ήχο για ένα λεπτό και να τον στείλει στον διακομιστή εντολών και ελέγχου (C&C) του εισβολέα. Η εφαρμογή λάμβανε αυτές τις οδηγίες κάθε 15 λεπτά.
“Δυστυχώς, δεν έχουμε καμία απόδειξη ότι η εφαρμογή προωθήθηκε σε μια συγκεκριμένη ομάδα ανθρώπων και από την περιγραφή της εφαρμογής και την περαιτέρω έρευνα, δεν είναι σαφές εάν μια συγκεκριμένη ομάδα ανθρώπων στοχοποιήθηκαν ή όχι. Φαίνεται πολύ ασυνήθιστο, αλλά δεν έχουμε στοιχεία για να πούμε το αντίθετο”, σημείωσε ο ερευνητής.
Ο προγραμματιστής που συνδέεται με την εφαρμογή στο Google Play Store είναι ο “Coffeeholic Dev”. Η Google όχι μόνο αφαίρεσε το iRecorder Screen Recorder από το Play Store, αλλά αφαίρεσε και άλλες εφαρμογές που δημιουργήθηκαν από τον ίδιο προγραμματιστή.
Τέλος, ακόμα και αν η Google έχει αφαιρέσει μια εφαρμογή από το Play Store, δεν σημαίνει ότι η εφαρμογή έχει αφαιρεθεί από το τηλέφωνό σας. Εάν εγκαταστήσατε το iRecorder ή οποιαδήποτε άλλη εφαρμογή που δημιουργήθηκε από την Coffeeholic Dev προτού αφαιρεθεί τότε παραμένει στη συσκευή.
ΣΥΖΗΤΗΣΗ