Защита телефонов от вредоносных приложений всегда была непростой задачей. Кажется, что каждый раз, когда появляются новые меры безопасности, это лишь вопрос времени, когда вредоносное ПО начнет их обходить. Хотя Play Store постоянно работает над удалением вредоносных программ, усилия Google не смогли остановить одно приложение для записи экрана от шпионажа за своими пользователями после получения обновления, преобразующего ПО, почти через год после его выпуска.
Приложение, о котором идет речь, iRecorder Screen Recorder, впервые появилось в Play Store в 2021 году и предлагало пользователям возможность записывать содержимое экрана. Чуть больше года спустя приложение получило обновление, которое, как показало расследование ESET, внедрило вредоносное ПО, тайно записывающее звук и передающее его на удаленный сервер (Ars Technica).
Инструмент шпионажа использовал код AhMyth, распространенного троянца удаленного доступа с открытым исходным кодом (RAT), который ранее использовался в других приложениях, аналогичным образом скрытно попавших в Play Store под носом у Google.
Более ранние версии приложения не содержали никакой формы вредоносного ПО, и обновление, внедрившее его в экранный регистратор, скорее всего, осталось бы незамеченным. Возможно, самая большая хитрость заключается в том, что разрешения, необходимые вредоносному ПО для выполнения своих неприятных действий, дублируют разрешения, которые уже были предоставлены приложению для выполнения функции записи экрана.
Проведенный анализ служит ярким примером того, как обычное на первый взгляд программа может незаметно превратиться в шпионское ПО после обновления. Исследователи предполагают, что такая тактика могла быть направлена на создание пользовательской базы перед выпуском вредоносного ПО, но отмечают, что у них нет никаких доказательств этого.
С выходом Android 14 Google пробует новые способы предотвращения проникновения опасного ПО на телефоны пользователей. Ранние бета-версии включают в себя новую защиту от приложений, пытающихся читать экраны без согласия пользователей. Хотя это не обязательно остановит вредоносные программы, подобные этой, это все же важный признак того, что Google серьезно относится к безопасности.