I ricercatori di sicurezza del team di ESET hanno comunicato di aver identificato un nuovo trojan di accesso remoto (RAT) direttamente sul Play Store di Google per Android denominato AhRat.
Android: AhRat scovato su iRecorder
Si basa su un altro RAT Android open source piuttosto diffuso e noto come AhMyth e si cela all’interno di un’app per lo screen recording e che vanta decine di migliaia di installazioni.
Andando più nello specifico, l’app “incriminata” è quella denominata iRecorder. È stata pubblicata sul Play Store a settembre del 2021 e con ogni probabilità l’aggiunta del trojan è avvenuta successivamente, con un aggiornamento rilasciato dopo circa un anno, ad agosto del 2022. Ora risulta ovviamente rimossa.
Il nome dell’app ha facilitato i lavori ai malintenzionati, per poter ottenere le autorizzazioni necessarie sul dispositivo su cui è stata installata per poter accedere ai file su di esso presenti. La richiesta, infatti, corrisonde alle funzioni previste da uno strumento per la registrazione dello schermo, senza destare particolari sospetti.
Ad assumere particolare rilievo è il fatto che prima che l’app in questione venisse eliminata dal Play Store è riuscita a totalizzare oltre 50.000 installazioni, motivo per cui il numero di utenti potenzialmente esposti alla mercé del malware è decisamente alto e chi non ha ancora provveduto a farlo farebbe bene ad eliminare quanto prima iRecorder dal proprio smartphone.
Da tenere presente che AhRat è in grado di agire in vari modi: esegue il monitoraggio della posizione dei dispositivi infettati, può rubare i dati del registro delle chiamate, i contatti, i messaggi di testo e molto altro naora.