Díra v Androidu? Původně bezpečná aplikace po aktualizaci nahrávala a odesílala zvuky bez vědomí uživatele

  • Googlu proklouzla pod rukama mobilní aplikace s malwarem
  • Ze začátku byla bezpečná, malware přibyl až s její aktualizací
  • Aplikace každých 15 minut nahrávala zvuky a posílala je do světa

Firma Eset si posvítila na aplikaci iRecorder – Screen Recorder, která se na Google Play objevila ve zcela bezpečné formě. Jenže až v budoucí aktualizaci přibyl malware, který pronikl veškerými ochranami od Googlu. A to je možná největší riziko Androidu. Google zřejmě nové aplikace kontroluje automatizovaně daleko detailněji, než ty, které jsou „jen“ aktualizovány. 

Zmiňovaná aplikace se na Google Play objevila 19. září 2021, ovšem malware do ní přibyl až s verzí 1.3.8, která byla publikována loni v srpnu. Aplikaci si stáhlo celkem 50 tisíc uživatelů, než z Google Play zmizela. A to proto, že se její součástí stal malware RAT (remote access trojan). Už první verze aplikace potřebovala oprávnění pro nahrávání zvuků a přístup k paměti. S ruční či automatickou aktualizací pak malware v aplikaci dokázal fungovat bez udělení jakýchkoliv dodatečných oprávnění.

Klepněte pro větší obrázek
Aplikace iRecorder - Screen Recorder fungovala bezpečně celý rok od svého uvedení. Jakmile získala 50 tisíc uživatelů, přišla aktualizace, která aplikaci záměrně infikovala malwarem. Googlu proklouzla doslova mezi prsty

Útočníci mohli u telefonu na dálku zapnout mikrofon a spustit nahrávání, tj. uživatele tajně špehovat. Nahrávka trvala minutu, poté byla odeslána na vzdálený server, nahrávání v této podobě probíhalo nepřetržitě, a to každých 15 minut! Co tím chtěli útočníci získat, je však otázkou. Mohlo se jednat o podobu jaké „špionážní“ kampaně, popř. o zjištění preferencí uživatelů, v závislosti na čemž mohly být upravovány reklamy. Přesné důkazy však zatím chybí.

Jednou z hypotéz je to, že si chtěli útočníci nejprve vytvořit slušnou uživatelskou základnu, a až poté ji zneužít svým vlastním malwarem. I přesto, že se objevil jen u jedné aplikace vývojáře „Cofeeholic Dev“, z Google Play na dobro zmizely všechny jeho aplikace.

Jak se bránit?

U Androidu 12 a výše se v horní liště telefonu objevují ikonky, které upozorňují na využívání mikrofonu a fotoaparátu na popředí i na pozadí. Uživatelé si tedy mohli všimnout, že s telefonem není něco v pořádku, jenže nemuseli vědět, k jaké aplikaci se využívání mikrofonu vztahuje. 

Klepněte pro větší obrázekKlepněte pro větší obrázek
Přístup k mikrofonu značí zelená ikona na displeji, přístup k foťáku, mikrofonu a poloze za posledních 24 hodin můžete najít v nastavení každého novějšího Androidu

V nastavení Androidů je naštěstí k dispozici nabídka Soukromí, ve které můžete prozkoumat všechny žádosti o oprávnění k přístupu k fotoaparátu, mikrofonu a poloze za posledních 24 hodin. Můžete si zde jednoduše ověřit, které aplikace oprávnění vyžadují, a zda se tak děje na popředí, nebo na pozadí. 

Zdroj: welivesecurity

Diskuze (8) Další článek: TicWatch Pro 5 přijdou s Wear OS 3. Díky zdvojenému displeji vydrží až 4 dny na jedno nabití

Témata článku: , , , , , , , , , Uživatelé, RAT, Mikrofon, Zvuk, Vědomí uživatele, Deva, Aplikace, Bezpečná aplikace,