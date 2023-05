Les experts en cybersécurité d’ESET ont découvert une application Android qui espionnait les utilisateurs depuis des mois.

Quelques applications installées sur un smartphone Android

Les experts en cybersécurité d’ESET ont publié un rapport dans lequel ils racontent comment une application Android, sûre à première vue et qui avait accumulé plus de 50 000 téléchargements sur Google Play, est passée d’une simple application pour enregistrer l’écran mobile à mettre en danger des milliers d’utilisateurs. via un logiciel malveillant.

La chose la plus frappante dans cette affaire est que l’application ne contenait aucun type de code lié au cheval de Troie au moment de sa publication sur le Google Play Store en septembre 2021. C’est un an plus tard que le développeur a mis à jour l’application pour introduire le code malveillant, capable d’extraire les enregistrements vocaux capturés avec le microphone du mobile et d’accéder aux informations sensibles stockées sur l’appareil.

AhRat, le malware resté caché dans Google Play espionnant les utilisateurs d’Android

Comme l’ont expliqué les chercheurs, l’application, publiée sur Google Play en 2019 sous le nom iRecorder – Screen Recorder, disposait de la fonctionnalité annoncée dans sa description dans le store, et ne semblait pas inclure de fonctionnalités malveillantes. En fait, les évaluations des utilisateurs de l’application étaient généralement positives.

C’était en août 2022, avec l’arrivée de la version 1.3.8, lorsque le code malveillant a été ajouté à l’application. En analysant son fonctionnement, l’application a pu utiliser le microphone de l’appareil pour écouter ce qui se passe autour de lui, puis envoyer les enregistrements au serveur de contrôle de l’attaquant. Auparavant, l’utilisateur devait avoir accordé à l’application l’autorisation d’accéder au microphone (un type d’autorisation qui, en revanche, est fréquemment demandé par ce type d’application et ne doit pas éveiller les soupçons).

Bien que, malheureusement, les problèmes ne s’arrêtent pas là. L’application a également demandé l’accès au contenu stocké sur le stockage du téléphone, qui a ensuite été exploité pour envoyer des fichiers avec des extensions spécifiques au même serveur où les enregistrements ont été envoyés. Pour cette raison, les chercheurs pensent que le malware, baptisé AhRat, fait partie d’une campagne d’espionnage dont on ne sait pas grand-chose jusqu’à présent. On ne sait pas non plus qui est derrière cette menace spécifique.

Après avoir découvert le malware dans le catalogue Google Play Store, ESET a informé Google et l’équipe en charge du store a déjà supprimé iRecorder du Play Store. Cependant, comme l’application a été téléchargée plus de 50 000 fois, il est possible qu’aujourd’hui elle soit encore présente sur certains appareils. Par ailleurs, il a été découvert que l’application était également distribuée via des stores d’applications alternatifs.

