一款流行的 Android 应用程序在 Google Play 上架数月后开始秘密监视其用户

一家网络安全公司表示，一款在谷歌应用商店中获得数万次下载的流行安卓屏幕录制应用随后开始监视其用户，包括窃取用户手机中的麦克风录音和其他文件。

ESET 的研究发现，Android 应用程序“iRecorder — Screen Recorder”在首次在 Google Play 上架近一年后将恶意代码作为应用程序更新引入。 据 ESET 称，该代码允许该应用程序每 15 分钟从设备的麦克风中偷偷上传一分钟的环境音频，以及从用户手机中窃取文档、网页和媒体文件。

该应用程序不再在 Google Play 中列出。 如果您安装了该应用程序，则应将其从您的设备中删除。 当该恶意应用程序从应用程序商店中下架时，它的下载量已超过 50,000 次。

ESET 将恶意代码称为 AhRat，这是一种名为 AhMyth 的开源远程访问木马的定制版本。 远程访问木马（或 RAT）利用对受害者设备的广泛访问，通常可以包括远程控制，但其功能也类似于间谍软件和跟踪软件。

发现该恶意软件的 ESET 安全研究员 Lukas Stefanko 在一篇博文中表示，iRecorder 应用程序在 2021 年 9 月首次推出时不包含任何恶意功能。

一旦恶意 AhRat 代码作为应用程序更新推送给现有用户（以及直接从 Google Play 下载该应用程序的新用户），该应用程序便开始偷偷访问用户的麦克风并将用户的电话数据上传到由恶意软件控制的服务器操作员。 Stefanko 表示，录音“符合已经定义的应用程序权限模型”，因为该应用程序本质上旨在捕获设备的屏幕录音，并会要求获得设备麦克风的访问权限。

目前尚不清楚是谁植入了恶意代码——无论是开发人员还是其他人——或者出于什么原因。 TechCrunch 在应用程序被撤回之前通过电子邮件向开发者的电子邮件地址发送了电子邮件，但尚未收到回复。

Stefanko 说，恶意代码很可能是更广泛的间谍活动的一部分——黑客在其中收集有关他们选择的目标的信息——有时是代表政府或出于经济动机的原因。 他说，“很少有开发人员上传合法应用程序，等待将近一年，然后用恶意代码更新它。”

不良应用进入应用商店的情况并不少见，这也不是 AhMyth 第一次悄悄进入 Google Play。 Google 和 Apple 在列出应用程序以供下载之前会先筛选应用程序是否存在恶意软件，有时还会在应用程序可能会给用户带来风险时主动采取行动将其拉下。 去年，谷歌表示它阻止了超过 140 万个侵犯隐私的应用进入 Google Play。