ESET-Forscher haben eine trojanisierte Android-App entdeckt, die im Google Play Store mit über 50.000 Installationen verfügbar war. Die App mit dem Namen "iRecorder - Screen Recorder" wurde am 19. September 2021 zunächst ohne bösartige Funktionen in den Store hochgeladen. Es scheint jedoch, dass die bösartige Funktionalität später implementiert wurde, wahrscheinlich in Version 1.3.8, die im August 2022 zur Verfügung gestellt wurde.

Die wichtigsten Punkte des Blogposts:

  • Als Partner der Google App Defense Alliance entdeckten wir eine trojanisierte App im Google Play Store; wir nannten die darin enthaltene AhMyth-basierte Malware AhRat.
  • Ursprünglich hatte die iRecorder-App keine schädlichen Funktionen. Ungewöhnlich ist jedoch, dass die Anwendung einige Monate nach ihrer Einführung ein Update mit Schadcode erhielt.
  • Das spezifische bösartige Verhalten der Anwendung, bei dem Mikrofonaufzeichnungen extrahiert und Dateien mit bestimmten Erweiterungen gestohlen werden, deutet möglicherweise auf eine Beteiligung an einer Spionagekampagne hin.
  • Die bösartige App mit über 50.000 Downloads wurde nach unserer Warnung aus Google Play entfernt. Wir haben AhRat nirgendwo anders in freier Wildbahn entdeckt.

Es ist selten, dass ein Entwickler eine legitime App hochlädt, fast ein Jahr wartet und sie dann mit Schadcode aktualisiert. Der Schadcode, der der sauberen Version von iRecorder hinzugefügt wurde, basiert auf dem quelloffenen AhMyth Android RAT (Remote-Access-Trojaner) und wurde zu dem von uns so genannten AhRat angepasst.

Abgesehen von diesem einen Fall haben wir AhRat nirgendwo sonst in freier Wildbahn entdeckt. Es ist jedoch nicht das erste Mal, dass auf AhMyth basierende Android-Malware bei Google Play verfügbar ist; wir haben unsere Untersuchungen zu einer solchen trojanisierten App bereits 2019 veröffentlicht. Damals umging die Spyware, die auf den Grundlagen von AhMyth aufbaut, zweimal den App-Überprüfungsprozess von Google, und zwar als bösartige App, die Radio-Streaming anbietet.

Was kann die App?

Der bösartige iRecorder bietet nicht nur legitime Bildschirmaufzeichnungsfunktionen, sondern kann auch Umgebungsgeräusche über das Mikrofon des Geräts aufzeichnen und auf den Command-and-Control-Server (C&C) des Angreifers hochladen. Außerdem kann er Dateien mit Erweiterungen für gespeicherte Webseiten, Bilder, Audio-, Video- und Dokumentdateien sowie Dateiformate, die zur Komprimierung mehrerer Dateien verwendet werden, vom Gerät exfiltrieren. Das spezifische bösartige Verhalten der App - das Exfiltrieren von Mikrofonaufzeichnungen und das Stehlen von Dateien mit bestimmten Erweiterungen - legt nahe, dass sie Teil einer Spionagekampagne ist. Wir waren jedoch nicht in der Lage, die App einer bestimmten bösartigen Gruppe zuzuordnen.

Als Partner der Google App Defense Alliance hat ESET die jüngste Version der Anwendung als bösartig identifiziert und seine Erkenntnisse umgehend an Google weitergegeben. Nach unserer Warnung wurde die App aus dem Store entfernt.

Distribution

Die iRecorder-Anwendung wurde ursprünglich am 19. September 2021 im Google Play Store veröffentlicht, bot legitime Bildschirmaufzeichnungsfunktionen und enthielt vor allem keine bösartigen Funktionen. Im August 2022 stellten wir jedoch fest, dass der Entwickler der Anwendung in Version 1.3.8 bösartige Funktionen einfügte. Wie in Abbildung 1 zu sehen ist, hatte die App bis März 2023 mehr als 50.000 Installationen erreicht.

Abbildung 1. Die trojanisierte iRecorder-App

Android-Nutzer, die eine frühere Version von iRecorder (vor Version 1.3.8) installiert hatten die keine bösartigen Funktionen enthielt, setzten ihre Geräte jedoch unwissentlich AhRat aus, wenn sie die App anschließend entweder manuell oder automatisch aktualisierten, auch ohne weitere Genehmigungen für die App zu erteilen.

Nach unserem Hinweis auf das bösartige Verhalten von iRecorder hat das Sicherheitsteam von Google Play die App aus dem Store entfernt. Es ist jedoch wichtig zu beachten, dass die App auch auf alternativen und inoffiziellen Android-Märkten zu finden ist. Der iRecorder-Entwickler bietet auch andere Anwendungen auf Google Play an, die jedoch keinen bösartigen Code enthalten.

Attribution

Zuvor wurde das quelloffene AhMyth von Transparent Tribe eingesetzt, auch bekannt als APT36, einer Cyberspionage-Gruppe, die für ihren umfassenden Einsatz von Social-Engineering-Techniken und ihre Angriffe auf Regierungs- und Militäreinrichtungen in Südasien bekannt ist. Dennoch können wir die aktuellen Samples keiner bestimmten Gruppe zuordnen, und es gibt keine Hinweise darauf, dass sie von einer bekannten Advanced Persistent Threat (APT)-Gruppe erstellt wurden.

Analyse

Bei unserer Analyse haben wir zwei Versionen von Schadcode identifiziert, die auf dem AhMyth RAT basieren. Die erste bösartige Version von iRecorder enthielt Teile des Schadcodes von AhMyth RAT, die ohne jegliche Änderungen übernommen wurden. Die zweite bösartige Version, die wir AhRat nannten, war ebenfalls auf Google Play verfügbar, und ihr AhMyth-Code war angepasst, einschließlich des Codes und der Kommunikation zwischen dem C&C-Server und der Backdoor. Bis zum Zeitpunkt dieser Veröffentlichung haben wir AhRat in keiner anderen Google Play-App oder anderswo in freier Wildbahn beobachtet. iRecorder ist die einzige App, die diesen angepassten Code enthält.

AhMyth RAT ist ein leistungsfähiges Tool, das verschiedene bösartige Funktionen ausführen kann, darunter das Exfiltrieren von Anrufprotokollen, Kontakten und Textnachrichten, das Abrufen einer Liste von Dateien auf dem Gerät, das Verfolgen des Gerätestandorts, das Versenden von SMS-Nachrichten, das Aufzeichnen von Audiodaten und das Aufnehmen von Fotos. In beiden hier analysierten Versionen konnten wir jedoch nur eine begrenzte Anzahl bösartiger Funktionen beobachten, die vom ursprünglichen AhMyth RAT abgeleitet wurden. Diese Funktionen schienen in das bereits definierte Berechtigungsmodell der App zu passen, das den Zugriff auf Dateien auf dem Gerät und die Aufnahme von Audiodaten erlaubt. Da die bösartige App über eine Videoaufzeichnungsfunktion verfügte, war zu erwarten, dass sie um die Erlaubnis bitten würde, Audiodaten aufzuzeichnen und auf dem Gerät zu speichern, wie in Abbildung 2 zu sehen. Nach der Installation der bösartigen Anwendung verhielt sie sich wie eine Standardanwendung ohne spezielle zusätzliche Genehmigungsanfragen, die ihre bösartigen Absichten hätten verraten können.

Abbildung 2. Von der iRecorder-App angeforderte Berechtigungen

Nach der Installation beginnt AhRat mit der Kommunikation mit dem C&C-Server, indem er grundlegende Geräteinformationen sendet und Verschlüsselungsschlüssel sowie eine verschlüsselte Konfigurationsdatei empfängt, wie in Abbildung 3 gezeigt. Diese Schlüssel werden zum Ver- und Entschlüsseln der Konfigurationsdatei und einiger exfiltrierter Daten, wie z. B. der Liste der Dateien auf dem Gerät, verwendet.

Abbildung 3. Die anfängliche C&C-Kommunikation von AhRat

Nach der ersten Kommunikation pingt AhRat den C&C-Server alle 15 Minuten an und fordert eine neue Konfigurationsdatei an. Diese Datei enthält eine Reihe von Befehlen und Konfigurationsinformationen, die auf dem Zielgerät auszuführen und einzustellen sind. Dazu gehören der Speicherort im Dateisystem, aus dem Benutzerdaten extrahiert werden sollen, die Dateitypen mit bestimmten Erweiterungen, die extrahiert werden sollen, eine Begrenzung der Dateigröße, die Dauer der Mikrofonaufzeichnungen (wie vom C&C-Server festgelegt; während der Analyse war sie auf 60 Sekunden eingestellt) und das Zeitintervall, das zwischen den Aufzeichnungen gewartet werden soll - 15 Minuten -, in dem auch die neue Konfigurationsdatei vom C&C-Server empfangen wird.

Interessanterweise enthält die entschlüsselte Konfigurationsdatei mehr Befehle als AhRat ausführen kann, da bestimmte bösartige Funktionen nicht implementiert wurden. Dies könnte darauf hindeuten, dass es sich bei AhRat um eine abgespeckte Version handelt, ähnlich wie bei der ursprünglichen Version, die nur unveränderten Schadcode aus dem AhMyth RAT enthielt. Trotzdem ist AhRat immer noch in der Lage, Dateien vom Gerät zu exfiltrieren und Audioaufnahmen über das Mikrofon des Geräts zu machen.

Basierend auf den Befehlen, die in der Konfiguration vom C&C-Server empfangen wurden, sollte AhRat in der Lage sein, 18 Befehle auszuführen. Der RAT kann jedoch nur die sechs Befehle aus der untenstehenden Liste ausführen, die fett und mit einem Sternchen markiert sind:

  • RECORD_MIC*
  • CAPTURE_SCREEN
  • LOCATION
  • CALL_LOG
  • KEYLOG
  • NOTIFICATION
  • SMS
  • OTT
  • WIFI
  • APP_LIST
  • PERMISSION
  • CONTACT
  • FILE_LIST*
  • UPLOAD_FILE_AFTER_DATE*
  • LIMIT_UPLOAD_FILE_SIZE*
  • UPLOAD_FILE_TYPE*
  • UPLOAD_FILE_FOLDER*
  • SCHEDULE_INTERVAL

Die Implementierung der meisten dieser Befehle ist nicht im Code der Anwendung enthalten, aber die meisten ihrer Namen sind selbsterklärend, wie man in Abbildung 4 sehen kann.

Abbildung 4. Entschlüsselte Konfigurationsdatei mit einer Liste von Befehlen

Während unserer Analyse erhielt AhRat Befehle zur Exfiltration von Dateien mit Erweiterungen, die für Webseiten, Bilder, Audio-, Video- und Dokumentdateien sowie für Dateiformate zur Komprimierung mehrerer Dateien stehen. Die Dateierweiterungen lauten wie folgt: zip, rar, jpg, jpeg, jpe, jif, jfif, jfi, png, mp3, mp4, mkv, 3gp, m4v, mov, avi, gif, webp, tiff, tif, heif, heic, bmp, dib, svg, ai, eps, pdf, doc, docx, html, htm, odt, pdf, xls, xlsx, ods, ppt, pptx und txt.

Diese Dateien waren auf eine Größe von 20 MB begrenzt und befanden sich im Download-Verzeichnis /storage/emulated/0/Download.

Die gefundenen Dateien wurden dann auf den C&C-Server hochgeladen, wie in Abbildung 5 zu sehen ist.

Abbildung 5. Datei-Exfiltration zum C&C-Server

Fazit

Die AhRat-Analyse ist ein gutes Beispiel dafür, wie sich eine ursprünglich legitime Anwendung selbst nach vielen Monaten in eine bösartige Anwendung verwandeln kann, die ihre Nutzer ausspioniert und ihre Privatsphäre gefährdet. Es ist möglich, dass der App-Entwickler beabsichtigt hat, eine Nutzerbasis aufzubauen, bevor er ihre Android-Geräte durch ein Update kompromittiert, oder dass ein böswilliger Akteur diese Änderung in der App eingeführt hat. Bisher haben wir jedoch keine Beweise für eine dieser beiden Hypothesen.

Glücklicherweise wurden in Android 11 und neueren Versionen bereits vorbeugende Maßnahmen gegen solche bösartigen Aktionen in Form von "App Hibernation" implementiert. Diese Funktion versetzt Apps, die seit mehreren Monaten inaktiv sind, in einen Ruhezustand, wodurch ihre Laufzeitberechtigungen zurückgesetzt werden und bösartige Apps nicht mehr wie vorgesehen funktionieren können. Die bösartige App wurde nach unserer Warnung von Google Play entfernt. Dies zeigt, dass ein mehrschichtiger Schutz wie ESET Mobile Security nach wie vor unerlässlich ist, um Geräte vor potenziellen Sicherheitsverletzungen zu schützen.

Beim ferngesteuerten AhRat handelt es sich um eine Anpassung des quelloffenen AhMyth RAT, was bedeutet, dass die Autoren der bösartigen App erhebliche Anstrengungen unternommen haben, um den Code sowohl der App als auch des Backends zu verstehen und ihn schließlich an ihre eigenen Bedürfnisse anzupassen.

Das bösartige Verhalten von AhRat, das u. a. Audioaufnahmen über das Mikrofon des Geräts und den Diebstahl von Dateien mit bestimmten Erweiterungen umfasst, könnte darauf hindeuten, dass er Teil einer Spionagekampagne war. Wir haben jedoch noch keine konkreten Beweise gefunden, die es uns ermöglichen würden, diese Aktivität einer bestimmten Kampagne oder APT-Gruppe zuzuordnen.

IoCS

Files

SHA-1 Package name ESET detection name Description
C73AFFAF6A9372C12D995843CC98E2ABC219F162 com.tsoft.app.iscreenrecorder Android/Spy.AhRat.A AhRat backdoor.
E97C7AC722D30CCE5B6CC64885B1FFB43DE5F2DA com.tsoft.app.iscreenrecorder Android/Spy.AhRat.A AhRat backdoor.
C0EBCC9A10459497F5E74AC5097C8BD364D93430 com.tsoft.app.iscreenrecorder Android/Spy.Android.CKN AhMyth‑based backdoor.
0E7F5E043043A57AC07F2E6BA9C5AEE1399AAD30 com.tsoft.app.iscreenrecorder Android/Spy.Android.CKN AhMyth‑based backdoor.

Network

IP Provider First seen Details
34.87.78[.]222 Namecheap 2022-12-10 order.80876dd5[.]shop C&C server.
13.228.247[.]118 Namecheap 2021-10-05 80876dd5[.]shop:22222 C&C server.

MITRE ATT&CK Techniques

This table was built using version 12 of the MITRE ATT&CK framework.

Tactic ID Name Description
Persistence T1398 Boot or Logon Initialization Scripts AhRat receives the BOOT_COMPLETED broadcast intent to activate at device startup.
T1624.001 Event Triggered Execution: Broadcast Receivers AhRat functionality is triggered if one of these events occurs: CONNECTIVITY_CHANGE, or WIFI_STATE_CHANGED.
Discovery T1420 File and Directory Discovery AhRat can list available files on external storage.
T1426 System Information Discovery AhRat can extract information about the device, including device ID, country, device manufacturer and mode, and common system information.
Collection T1533 Data from Local System AhRat can exfiltrate files with particular extensions from a device.
T1429 Audio Capture AhRat can record surrounding audio.
Command and Control T1437.001 Application Layer Protocol: Web Protocols AhRat uses HTTPS to communicate with its C&C server.
Exfiltration T1646 Exfiltration Over C2 Channel AhRat exfiltrates stolen data over its C&C channel.