Hackeři vložili virus do aplikace, která každých 15 minut odesílá zvuky z mikrofonu a umožňuje jim vzdálený přístup

Infikovaná aplikace bývala zpočátku „čistá“ a virus do ní pronikl až později. Uživatele nahrávala a mohla jim krást uložené soubory nebo pořizovat snímky.

Luis Prado / Public Domain

Nahrávat okolní zvuky bez svolení uživatele mají sice výrobci telefonů i tvůrci softwaru zakázáno, někteří to však dělají alespoň při používání aplikace, aby ji „mohli zkvalitňovat“, s čímž je nutné souhlasit (typicky ve smluvních podmínkách, které nikdo nečte). Teoreticky je to tedy v pořádku, jenomže někteří tvůrci si s legislativou ani dobrými mravy hlavu nelámou. Redakce Mobify dává za příklad aplikaci iRecorder, která dle ESETu odesílá nahrávky z mikrofonu.

Vše bylo v pořádku, problém nastal později

Jak podotýká zdroj, který je mimochodem partner Google App Defense Alliance (podílí se tedy na bezpečnosti softwaru, který se objevuje v Google Play), zpočátku plnila aplikace iRecorder svůj účel, za nímž si ji uživatelé stahovali, a žádný virus neobsahovala. Díky tomu nebyla hodnocena jako škodlivá a mohlo si ji tedy v průběhu několika měsíců stáhnout co nejvíce lidí.

Až poté do ní byl propašován virus založený na AhMyth, jehož úkolem je dle CheckPoint záznam kláves, snímkování obrazovky, pořizování fotografií a nahrávek, ale také geolokace a lustrování kontaktů a SMS zpráv. Výše zmíněný ESET k aplikaci konkrétně uvedl, že se soustředila na krádež specifických souborů a nahrávání skrze mikrofon, což prý může souviset se špionáží.

Aplikaci si stačilo stáhnout přes 50 000 uživatelů, což sice není ve světě virů až tak vysoké číslo, ale přece jenom ani nízké. Zmíněný virus je přitom založen na AhRAT, což hackerům umožňuje vzdálený přístup k zařízení, a tedy i zapnutí mikrofonu, kdy se jim to hodí. Aktuálně už aplikace iRecorder v Google Play dostupná není, ale pokud se například vyhýbáte aktualizacím, můžete ji stále mít v telefonu, a vzhledem ke zmíněnému nebezpečí ji raději smažte.

ArsTechnica doplňuje, že iRecorder v některých případech odesílala zvukové nahrávky každých 15 minut, takže měli hackeři de facto nepřetržité „vzorky“. Na druhou stranu nebylo zjištěno, že by se zaměřovali na nějakou konkrétní skupinu lidí. Vedle toho byl prý podobný virus již dříve detekován také v Radio Balouch, ta však cílila na íránské obyvatelstvo.