快删！ Android 应用被抓到偷偷监听用户：一开始伪装为正常 App，再通过更新加入恶意功能

Toy-编辑部 • 2023年9月26日 06:03 • 投稿

资安专家发现 iRecorder – Screen Recorder 其实在最初版本的时候是没有任何已知危害的。不过却在分次达成的恶意更新来到 2022 年 8 月推出的 v1.3.8. 后，终于被抓到了它木马的真面目 – 被揭露时，已经取得了高达 18 种指令的权限。继续阅读快删！ Android 应用被抓到偷偷监听用户：一开始伪装为正常 App，再透过更新加入恶意功能报导内文。

快删！ Android 应用被抓到偷偷监听用户：一开始伪装为正常 App，再通过更新加入恶意功能

直接先讲结论，如果大家有安装过 iRecorder – Screen Recorder 这个谷歌 Play 上的 Android 屏幕录像应用的话，请尽快删除它。

因为它已经被 ESET 资安专家踢爆，此应用开发商 Coffeeholic Dev 透过后续更新的方式，将原本正常的应用渐渐转变成恶意应用。更建议用户可以考虑确认，该开发者旗下的其他应用包括：

iBlock
iCleaner
iEmail
iLock
iVideoDownload
i
File speaker
QR Saver

可能都需要关注一下是否有相关的问题发生 – 或干脆直接先删除以防万一。

即便目前还没有确认这个「变身」为恶意应用的 iRecorder – Screen Recorder，是否与特定组织以及间谍行动有关。但它所能取得的权限，真的是出乎意料的可怕，所以真的是需要很谨慎地看待它。

快删！ Android 应用被抓到偷偷监听用户：一开始伪装为正常 App，再通过更新加入恶意功能 - 电脑王阿达
▲图片来源：ESET

之所以会说这支由 Coffeeholic Dev 所开发的应用需要谨慎应对。主要是因为资安专家发现 iRecorder – Screen Recorder 其实在最初版本的时候是没有任何已知危害的。不过却在分次达成的恶意更新来到 2022 年 8 月推出的 v1.3.8. 后，终于被抓到了它木马的真面目 – 被揭露时，已经取得了高达 18 种指令的权限，而这权限阵容之豪华…

RECORD_MIC
CAPTURE_SCREEN
LOCATION
CALL_LOG
KEYLOG
NOTIFICATION
SMS
OTT
WIFI
APP_LIST
PERMISSION
CONTACT
FILE_LIST
UPLOAD_FILE_AFTER_DATE
LIMIT_UPLOAD_FILE_SIZE
UPLOAD_FILE_TYPE
UPLOAD_FILE_FOLDER
SCHEDULE_INTERVAL

据报后续把以开源的 AhMyth RAT 恶意软件为基础，所打造的 AhRat 内置于应用之中的 iRecorder – Screen Recorder。其实可以获得包括麦克风录制、截图、上传档案、取得电话 Log、通知等 18 种指令。虽说就资安专家的分析是它还不能够执行全部的恶意指令 – 就，还在成长中。但目前来讲，依然具备有窃取装置的文件与录音的能耐。

快删！ Android 应用被抓到偷偷监听用户：一开始伪装为正常 App，再通过更新加入恶意功能 - 电脑王阿达
▲图片来源：ESET

除了目前谷歌 Play 已经在 ESET 的回报之后主动下架了这款应用。而且目前来说，基本上包括 iOS 与 Android 系统都已经内置了屏幕录像截图的功能。因此某种程度来讲，这次这个在被下架前还有高达超过 5 万次下载的 Android 应用，实际影响范围应该并没有想象中的大？另外，其实在 Android 6 以后系统也会有对应久未使用的应用主动停用一些权限的机制存在，可能也能避免掉一些风险。

▲图片来源：谷歌

然而这样的先伪装成普通免费应用，却又以“真 · 木马屠城」的形式更新成恶意软件 – 而且还是很有技巧地像有生命般成长茁壮。不得不说，像是谷歌 Play 这样的应用程序商店竟然没有办法在开始植入恶意代码的更新出现的第一时间就把关过滤，想必也会是需要关注的重点 – 至少，这样的放行这种恶意应用更新的重大漏洞应该要马上被修正才对？