Wyobraź sobie ładowanie aplikacji na telefon z Androidem ze Sklepu Google Play, która początkowo była legalną aplikacją, ale wkrótce mogła zdalnie włączyć mikrofon telefonu i nagrywać dźwięk, połączyć się ze zdalnym serwerem i przesłać zebrane pliki audio, i więcej. Według Lukasa Stefanko , badacz z firmy ESET zajmującej się cyberbezpieczeństwem (przez Ars Technica), to jest prawdziwa historia aplikacji o nazwie iRecorder Screen Recorder, która zgromadziła ponad 50 000 instalacji ze Sklepu Play. Aplikacja zadebiutowała w sklepie Google Play we wrześniu 2021 r., a kiedy wersja 1.3.8 została wydana w sierpniu 2022 r., dodała kilka złośliwych funkcji. Pamiętaj, że te funkcje nie zostały dodane do aplikacji przez prawie rok po pierwszym pojawieniu się iRecorder w Sklepie Play. Aktualizacja umożliwiła aplikacji zdalne wyłączenie mikrofonu telefonu z Androidem, na którym zainstalowano aplikację, nagrywanie dźwięku, połączenie z serwerem powiązanym z atakującym oraz przesyłanie plików audio i innych poufnych plików, które były przechowywane w telefonie. Gdy badacz Stefanko instalował aplikację, otrzymywała ona polecenie nagrania dźwięku przez jedną minutę i wysłania go do serwera dowodzenia i kontroli (C&C) atakującego. Aplikacja otrzymywała te instrukcje co 15 minut. Stefanko powiedział, że możliwe jest, że złośliwe działania zaktualizowanej aplikacji iRecord są częścią aktywnej kampanii szpiegowskiej, ale nie jest pewien, czy tak jest.
Prawie rok po debiucie w Sklepie Play, aktualizacja sprawiła, że ta aplikacja nagrywała Twoje rozmowy i wysyłała je na zdalny serwer
Stefanko pisze: „Niestety nie mamy żadnych dowodów na to, że app została wypchnięta do określonej grupy osób, a z opisu aplikacji i dalszych badań (możliwy wektor dystrybucji aplikacji) nie jest jasne, czy celem była określona grupa osób, czy nie. Wydaje się to bardzo niezwykłe, ale nie wiemy nie mam dowodów, by twierdzić inaczej”.
Programistą powiązanym z aplikacją w sklepie Google Play jest „Coffeeholic Dev”, a Google nie tylko usunął iRecorder Screen Recorder ze Sklepu Play, ale także inne Aplikacje ze Sklepu Google Play utworzone przez programistę.
Pamiętaj, że usunięcie aplikacji ze Sklepu Play przez Google nie oznacza, że została ona usunięta z telefonu, jeśli zainstalowałeś iRecorder lub wszelkie inne aplikacje stworzone przez Coffeeholic Dev przed ich ściągnięciem. Jeśli znajdziesz iRecorder lub jakąkolwiek aplikację stworzoną przez Coffeeholic Dev na swoim telefonie, pamiętaj o natychmiastowym odinstalowaniu jej ze swojego telefonu.
