ESET זיהתה אפליקציה העמידה להורדה בחנות האפליקציות של גוגל, חנות Google Play. ראשית, לאפליקציית IRCorder לא היו מאפיינים שגרמו נזק למשתמשים. אבל כמה חודשים לאחר השקת האפליקציה קיבלה עדכון שכלל קוד זדוני |האפליקציה הזדונית הורדה מעל 50,000 פעמים חוקרי אבטחת המידע של ESET גילו אפליקציית אנדרואיד הכוללת סוס טרויאני בשם "מקליט יורן". האפליקציה הייתה זמינה להורדה בחנות Google Play כאפליקציה לגיטימית בספטמבר 2021, והאפשרויות הזדוניות נוספו ככל הנראה באוגוסט 2022. אפליקציית iRecorder במהלך חייה הותקנה האפליקציה על פני יותר מ- 50,000 מכשירים. הגרסה הנקיית IRCort מבוססת על אחמיט, המבוססת על קוד פתוח ומוגדרת כסוס טרויאני לגישה מרחוק ושונאת את שכונהנקרא 'Ahrat' על ידי Eset.Files, מה שעשוי להצביע על כך שהוא היה חלק ממסע פרסום. גוף המחקר של ESET לא זיהה נזק של AHRAT בשום מרחב שאינו חנות Google Play. עם זאת, זו לא הפעם הראשונה שאנדרואיד מבוסס על אחמית היה זמין להורדה בחנות הרשמית; ESET פרסמה מחקר על אפליקציה כזומודבק על סוס טרויאני בשנת 2019. הרוגלה מאותו מקרה, המבוססת על יסודותיו של אחמיט, עקפה את תהליך האימות של אפליקציה של גוגל פעמיים והצליח להישאר בחנות כמפוזרת המספקת שירותי זרימת רדיו. ביד השנייה, הצד השניאפליקציית IRCERCER עדיין ניתן למצוא בחנויות יישומים אלטרנטיביות ולא רשמיות, והמפתח עדיין מציע אפליקציות להורדה אחרות בחנות Google Play, אך אלה אינן כוללות קוד זדוני. איור. פוטו מפרץ פיקסה. "המחקר על המקרה של אהרט משמש כדוגמה נהדרת לאופן בו אפליקציה שמתחילה כלגיטימית יכולה להיות זדונית, גם לאחר מספר חודשים, ובכך על המשתמשים שלה ולפגוע בפרטיותם. מפתח התוכנה אולי התכוון לבנות אבסיס משתמשים גדול לפני שפגעו במכשירי אנדרואיד שלהם דרך העדכון, או סיבה זדונית יצרה שינוי זה באפליקציה, אך עד כה אין לנו שום הוכחה שמחזקת את אחת משתי ההשערות הללו ", מסביר ESET, לוקאס סטפקו, שגילה את האיום ונחקרזה. AHRAT בשליטה מרחוק AHRAT היא גרסה בהתאמה אישית של סוס הטרויאני לגישה מרחוק המכונה אחמיט, מה שמצביע עללצרכים שלהם. בנוסף לספק את האפשרות הלגיטימית להקלטת המסך, אפליקציית ה- iRecorder הזדונית יכולה להקליט שמע סביבתי מהמיקרופון של המכשיר ולהעלות את ההקלטות לשרת השליטה והבקרה של התוקף. זה גם הצליח לדלוף קבצים המאוחסנים במכשיר עם הרחבותהמייצגים דפי רשת, תמונות, אודיו, סרטונים ופורמטים שונים המשמשים לסתירות נתונים. משתמשי אנדרואיד שהתקנו את ה- Ircerrer המוקדם , שלא כללו מאפיינים זדוניים, חשפו את המכשירים שלהם ל- AHRAT אם עדכנו את האפליקציה ידנית או אוטומטית, והם אפילו לא נדרשו לתת לאפליקציה הרשאות נוספותו "למרבה המזל, אמצעי מניעה מפני פעולות זדוניות כאלה כבר הוטבעו בגרסאות של אנדרואיד, כאשר האמצעים העיקריים הם יישום אפליקציות . אפשרות זו מביאה לאפליקציות שלא הופעלו במשך מספר חודשים, ובכך לאפס את הרשות ההפעלה שלהםולמנע מהאפליקציות הזדוניות לעשות את מה שתוכננו לעשות. האפליקציה הממאירה הוסרה מחנות Google Play בעקבות ההתראה שלנו, מה שמוכיח כי הצורך באבטחה שניתנת בצורה של שכבות, כמו באבטחה סלולרית של ESET,הוא עדיין חלק חיוני בהגנה על מכשירים מפני פרצות אבטחה אפשריות ", מסכם סטפנקו. גוף המחקר של ESET טרם מצא עדות מוצקה שיכולה לקשר בין פעילות זו לקמפיין ספציפי או לקבוצת תקיפה ספציפית . Gotopnews.com