サイバーセキュリティ企業によると、グーグルのアプリストアで数万回ダウンロードされた人気のAndroid画面録画アプリが、その後、ユーザーの携帯電話からマイクの録音やその他の文書を盗むなどして、ユーザーをスパイし始めたという。
ESETの調査によると、Androidアプリ「iRecorder - スクリーンレコーダー」は、Google Playに初めて掲載されてからほぼ1年後、アプリのアップデートで悪意のあるコードを導入していたことが判明しました。ESETによると、このコードにより、アプリは15分ごとにデバイスのマイクから1分間の周囲の音声を密かにアップロードし、ユーザーのスマートフォンからドキュメント、ウェブページ、メディアファイルを盗み出すことが可能になりました。
このアプリはGoogle Playから削除されました。インストール済みの場合は、デバイスから削除してください。この悪意のあるアプリがApp Storeから削除されるまでに、ダウンロード数は5万回を超えていました。
ESETはこの悪意あるコードを「AhRat」と呼んでいます。これは、オープンソースのリモートアクセス型トロイの木馬「AhMyth」のカスタマイズ版です。リモートアクセス型トロイの木馬(RAT)は、被害者のデバイスへの広範なアクセスを悪用し、多くの場合リモートコントロール機能を備えていますが、スパイウェアやストーカーウェアと同様の機能も備えています。
このマルウェアを発見したESETのセキュリティ研究者、ルーカス・ステファンコ氏はブログ投稿で、iRecorderアプリが2021年9月に初めてリリースされた時点では悪意のある機能は含まれていなかったと述べた。
悪意のあるAhRatコードが既存ユーザー(およびGoogle Playから直接アプリをダウンロードする新規ユーザー)にアプリのアップデートとしてプッシュされると、アプリはユーザーのマイクに密かにアクセスし、ユーザーの電話データをマルウェアの運営者が管理するサーバーにアップロードし始めました。ステファンコ氏は、アプリは本来デバイスの画面録画をキャプチャするように設計されており、デバイスのマイクへのアクセスを許可するよう要求することから、音声録音は「既に定義されているアプリの権限モデルに適合する」と述べました。
悪意のあるコードを誰が仕掛けたのか(開発者か、それとも別の人物か)、そしてその理由は不明です。TechCrunchは、アプリが削除される前にリストに掲載されていた開発者のメールアドレスにメールを送信しましたが、まだ返答はありません。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
ステファンコ氏は、この悪意あるコードは、ハッカーが特定のターゲットに関する情報収集を目的とした、より広範なスパイ活動の一環である可能性が高いと述べた。ハッカーは、時には政府や金銭目的のために、特定のターゲットに関する情報収集を行う。「開発者が正規のアプリをアップロードし、1年近く待ってから悪意あるコードでアップデートするのは稀だ」とステファンコ氏は述べた。
悪質なアプリがアプリストアに紛れ込むことは珍しくなく、AhMythがGoogle Playに紛れ込んだのも今回が初めてではありません。GoogleとAppleはどちらも、アプリをダウンロードリストに掲載する前にマルウェアの検査を行っており、ユーザーにリスクをもたらす可能性のあるアプリについては、積極的に削除する措置を講じています。昨年、Googleは140万件以上のプライバシー侵害アプリがGoogle Playに配信されるのを阻止したと発表しました。
数十万のプライベートな電話データを流出させるストーカーウェアネットワークの背後にある
ザック・ウィテカーはTechCrunchのセキュリティエディターです。彼はまた、毎週のサイバーセキュリティニュースレター「今週のセキュリティ」の執筆者でもあります。
Signalのzackwhittaker.1337宛ての暗号化メッセージで連絡を取ることができます。また、メールで連絡を取るか、確認したい場合は[email protected]までご連絡ください。
バイオを見る
