Theo hãng bảo mật ESET, bản cập nhật của ứng dụng quay màn hình “iRecorder – Screen Recorder” bị nhúng mã độc. Gần một năm trước, ứng dụng được phê duyệt và có mặt trên chợ Google Play. Mã độc cho phép chương trình cứ mỗi 15 phút sẽ tải lên một đoạn ghi âm môi trường xung quanh có thời lượng 1 phút. Nó còn trích xuất tài liệu, trang web và tập tin phương tiện từ thiết bị của người dùng.
ESET đặt tên cho mã độc là AhRat, phiên bản tùy biến của trojan AhMyth. Các trojan truy cập từ xa (RAT) tận dụng khả năng truy cập thiết bị của nạn nhân và có thể bao gồm điều khiển từ xa. Chúng hoạt động rất giống với phần mềm gián điệp hay phần mềm theo dõi.
Lukas Stefanko, nhà nghiên cứu bảo mật tại ESET – người phát hiện mã độc, cho biết vào thời điểm phát hành tháng 9/2021, iRecorder không chứa tính năng độc hại nào. Sau khi mã độc AhRat được cài vào dưới dạng cập nhật phần mềm, ứng dụng mới bắt đầu lén lút truy cập microphone của người dùng và tải dữ liệu điện thoại lên máy chủ do kẻ khai thác mã độc điều khiển.
Không rõ ai là thủ phạm cấy mã độc lên ứng dụng hay nguyên nhân phía sau. Theo Stefanko, nó có thể là một phần trong chiến dịch theo dõi lớn hơn, nơi tin tặc tìm cách thu thập thông tin về các mục tiêu mà chúng lựa chọn. Chuyên gia nhận xét, rất hiếm khi một nhà phát triển tải lên ứng dụng hợp pháp rồi chờ một năm để cập nhật nó với mã độc.
Các ứng dụng độc hại vượt qua vòng đánh giá để niêm yết trên Google Play không phải chuyện hiếm. Đây cũng không phải lần đầu mã độc AhMyth lọt vào chợ ứng dụng. Cả Google và Apple đều quét các ứng dụng trước khi cho phép vào chợ và chủ động gỡ bỏ khi tiềm ẩn nguy cơ với người dùng. Năm 2022, Google tuyên bố đã chặn được hơn 1,4 triệu ứng dụng vi phạm quyền riêng tư tiếp cận Google Play.