Google Playストアで公開されていたAndroidアプリが、後にアップデートにより悪意ある機能を追加され、ユーザーの音声を盗聴するマルウェアになっていた例をセキュリティ企業ESETが報告しています。
問題の「iRecorder Screen Recorder」は画面を録画するアプリで、Google Playストアで5万回以上もダウンロードされていました。ESETの報告を受けてGoogleが削除済みであり、現在は公開されていません。
このアプリは2021年9月よりGoogle Playストアで配信していました。当初は説明のとおり画面を録画する機能しかありませんでしたが、2022年8月に公開されたバージョン1.3.8で、悪意のある機能が実装された可能性が高いと見られています。
マルウェア化した後は、デバイスのマイクから一定時間ごとに周囲の音を録音し、攻撃者のC2サーバ(マルウェアに指令を出したり盗み出した情報を受け取る)にアップロードしたり、デバイス内に保存された文書や画像、音声や動画ファイルを盗み出せるようになります。
ESETの研究者は、この挙動をオープンソースのAhMyth Android RAT(リモートアクセス型トロイの木馬)をベースにした悪意のあるコードが埋め込まれたためと説明。そして今回のカスタム版を「AhRat」と名付けています。
ここでいうRATは、無害なプログラムを装ってコンピュータに侵入するトロイの木馬のうち、遠隔での操作を行うマルウェアのこと。スパイウェアやストーカーウェアと同様の機能を持たせることもできます。
とはいえ、後でマルウェアを仕込んだとしても、Androidアプリはユーザーから許可された権限しかアクセスできません。なぜ盗聴機能も追加できたかといえば、画面録画アプリとして与えられた「デバイス上のファイルへのアクセスや、音声の録音を許可する」という権限の範囲内に収まっていたからと分析されています。
この1件のほか、AhRatが発見された事例はなかったとのこと。ただしAhMythベースのAndroidマルウェアがGoogle Playで公開されたのは今回が初めてではなく、Googleのアプリ審査プロセスを2回も回避していたことが報告されています。
こうした悪質アプリがアプリストアに紛れ込むことは、特に珍しくありません。しかし、今回のように最初は問題なかったアプリが、後にマルウェアに変質してしまった場合は非常にやっかいです。昨年、Googleは143万本ものポリシー違反アプリがPlayストアに侵入することを防いだと報告していましたが、アプリ公開後に不審なアップデートがないかも厳重なチェックが望まれそうです。
