Mantener el malware lejos de nuestro teléfono es una tarea complicada, especialmente cuando aunque sigamos las recomendaciones y buenas prácticas de seguridad, la amenaza llega de un sitio de confianza como la tienda de aplicaciones. Esta aplicación en cuestión inició su andadura como una inocua app para grabar la pantalla que un año después comenzó espiar a quienes la hubieran instalado en su teléfono.
Tanto Apple como Google trabajan para mantener sus respectivas plataformas de descargas de aplicaciones seguras, pero de vez en cuando se les escapa alguna o pasa como en este caso, revelado por el investigador de seguridad Lukas Stefanko de ESET: primero llegó a la Google Play Store con una función clara y lícita pero después, actualización mediante, pasó a ser un malware para grabar el audio del micrófono del dispositivo cada 15 minutos sin permiso para posteriormente enviarlos a un servidor remoto.
La aplicación en cuestión se llama iRecorder Screen Recorder del equipo dev Coffeholic Dev, estaba disponible para dispositivos Android y llegó a la Play Store 2021. Inicialmente ofrecía el servicio la posibilidad de capturar contenido de sus pantallas y cumplía su cometido limpiamente. Antes de convertirse en malware, consiguió superar las 50.000 descargas.
Durante un año aproximadamente funcionó de forma legítima, pero llegó esa polémica actualización versión 1.3.8 de agosto de 2022 que burló los sistemas de detección de Google y se transformó en un software de espionaje que usaba código de un troyano de acceso remoto común de código abierto llamado AhMyth, un viejo conocido de la Play Store contra el que Google ya se había enfrentado antes en otras apps similares. Aunque tiene potencial para espiar información como la ubicación, archivos o SMS, la única función implementada es la de grabación de audio.
De aplicación para grabar pantalla a espía en un año y actualización mediante
Una de las cuestiones más importantes y esenciales para su éxito en su misión de espionaje es que gracias a su función original, la de grabación de pantalla, disponía de los permisos necesarios para tener acceso al micrófono y captar el sonido.
Este es un claro ejemplo de cómo una aplicación aparentemente normal puede convertirse con total sigilo en malware tras una actualización. Según apunta la investigación, esta táctica les permitió también disponer de una base de usuarios antes de tornarse en malware, lo que resulta extraño en tanto en cuanto este tipo de espionaje suele ser más dirigido.
¿Qué pasa con iRecorder Screen Recorder? Teniendo en cuenta su largo recorrido antes de convertirse en malware, está instalada en decenas de miles de dispositivos. No obstante, Google la ha retirado ya de su Play Store cuando iba por la versión 2.0, pero su APK sigue disponible para descarga a través de paginas de terceros.
A partir de Android 11 es posible que el sistema revoque automáticamente las aplicaciones que no usas, lo que protegería a quienes no la hayan abierto con frecuencia, pero no es una solución total y completa ante software como este, con permisos tan delicados entre manos. Con Android 14 en el futuro próximo, Google está experimentando con nuevas formas de evitar que el malware llegue a los teléfonos. Así, entre las primeras versiones beta se incluye protección contra la lectura de las pantallas sin consentimiento expreso, aunque esta medida no sería efectiva para este caso concreto, pero sí un indicativo de que Google está trabajando en ello.
Vía | The Verge
Portada | Xataka Móvil
En Xataka Móvil | Estos son todos los tipos de malware que pueden infectar tu móvil