Pengguna Android diminta berhati-hati dengan sebuah aplikasi screen recording populer yang sempat beredar di Google Play Store. Pasalnya aplikasi itu disusupi remote access trojan (RAT) berbahaya.
Peneliti keamanan siber dari ESET menemukan aplikasi iRecorder – Screen Recorder yang menyebarkan malware AhRAT. Aplikasi ini sebenarnya sudah berada di Play Store sejak 2021, tapi karena update berbahaya yang dirilis pada Agustus 2022, aplikasi ini mulai menyebarkan malware.
Karena fungsinya sebagai screen recorder, aplikasi ini dengan mudah meminta izin untuk merekam audio dan mengakses file di perangkat yang terinfeksi. Sebelum dihapus oleh Google, aplikasi ini sudah diunduh lebih dari 50.000 kali.
“Menyusul pemberitahuan kami terkait perilaku berbahaya iRecorder, tim keamanan Google Play telah menghapusnya dari toko aplikasi,” kata peneliti malware ESET Lukas Stefanko, seperti dikutip dari Bleeping Computer, Rabu (24/5/2023).
“Namun, penting untuk dicatat bahwa aplikasi ini juga dapat ditemukan di toko aplikasi Android alternatif atau tidak resmi. Pengembang iRecorder juga menyediakan aplikasi lain di Google Play, tapi tidak berisi kode berbahaya,” sambungnya.
Malware AhRAT sendiri merupakan malware yang berbasis pada RAT Android open-source yang dikenal dengan nama AhMyth. Malware ini memiliki banyak kemampuan, termasuk melacak lokasi perangkat, mencuri log panggilan, kontak, dan SMS, mengirimkan SMS, dan mengambil foto.
Setelah diteliti lebih jauh, ESET menemukan bahwa aplikasi screen recording ini hanya menggunakan sebagian kemampuan RAT karena hanya digunakan untuk membuat dan mengekstraksi suara sekitar dan untuk mencuri file dengan ekstensi tertentu, yang mengindikasikan aplikasi ini berpotensi digunakan untuk kegiatan spionase.
Malware ini juga bisa merekam audio di background dan mengunggahnya ke server command and control yang dikontrol oleh hacker di balik serangan ini. Tapi ESET tidak dapat mengaitkan aplikasi ini dengan kelompok penjahat siber atau hacker tertentu.
“Sebelumnya, AhMyth yang open-source dipekerjakan oleh Transparent Tribe, atau yang dikenal sebagai APT35, sebuah kelompok spionase siber yang dikenal dengan penggunaan teknik rekayasa sosial serta menargetkan organisasi pemerintah dan militer di Asia Selatan,” kata Stefanko.