Cette application Android en tête de sa catégorie cache un malware, supprimez-la immédiatement !

Autrefois sûr, iRecorder – Screen Recorder a été modifié pour ajouter un malware qui vous espionne. Pensez à désinstaller cette application en tête de sa catégorie sur le Play Store. Il en va de la sécurité de votre vie privée ! Qui sont les pirates à l’origine de cette attaque ? Deux théories se dessinent.

malware android
© Unsplash

Les malwares se répandent comme une traînée de poudre. Les applications Android ne sont pas épargnées et abritent de dangereux logiciels espions comme Xenomorph 3 qui vise les banques françaises. Aujourd’hui, les chercheurs en cybersécurité d’ESET ont découvert que l’application Android appelée iRecorder – Screen Recorder, l’une des plus populaires dans sa catégorie, a pris un virage inquiétant en espionnant d’un coup ses utilisateurs.

À lire > Android : ce nouveau malware simule une empreinte digitale pour accéder à votre smartphone

Une application autrefois sûre devenue un véritable espion

Comme le soulignent les chercheurs en cybersécurité d’ESET, iRecorder – Screen Recorder a été ajouté au Play Store en septembre 2021 mais c’est à partir d’août 2022 que l’application a pris un drôle de tournant. Pour ne pas dire une direction dangereuse.

Après avoir été « normale » pendant un an, l’application qui sert à enregistrer l’écran de l’appareil a commencé à enregistrer les appels, voler les fichiers et écouter ses utilisateurs. Au moment où le code malveillant a été ajouté à iRecorder – Screen Recorder, on recensait près de 50 000 téléchargements. On ne sait pas quels pirates ont compromis cette application ou leurs motivations. Mais selon les chercheurs, il s’agit sans doute d’une campagne d’espionnage. Parmi les fichiers récupérés, on parle de pages web enregistrées, d’images, de son, de vidéos, de documents, etc.

Le logiciel malveillant découvert par les chercheurs en cybersécurité d’ESET a été nommé AhRat. Il s’agit d’un cheval de Troie d’accès à distance (RAT) Android open source nommé AhMyth qui a été modifié. Ce qui veut dire que la personne (ou les personnes) à l’origine de cette attaque a pris le temps de l’étudier.

À lire > Ces boitiers Android TV vendus sur Amazon sont bardés de malwares capables de lancer des cyberattaques.

Pourquoi cette application est devenue malveillante ?

Lukáš Štefanko, chercheur chez ESET, résume parfaitement les raisons de ce changement d’une application saine à une application vérolée : « C’est un bon exemple de la manière dont une app légitime peut se transformer en logiciel malveillant même après de nombreux mois, espionnant les utilisateurs et compromettant leur vie privée. Il est possible que le développeur de l’application ait eu l’intention de constituer une base d’utilisateurs avant de compromettre leurs appareils Android par le biais d’une mise à jour. Ou qu’un acteur externe ait introduit ce changement dans l’application. Jusqu’à présent, nous n’avons aucune preuve de l’une ou l’autre de ces hypothèses ».

À noter que les versions 1.3.8 et antérieures de l’application iRecorder – Screen Recorder n’ont pas été compromises. Pensez à désinstaller cette app très rapidement.

À lire > Comment se débarrasser des bloatwares sur votre smartphone Android ?