iRecorder AhRat
Az ESET kutatói szerint egy alkalmazás, amelyet több mint 50 000 alkalommal töltöttek le a Google Playről, 15 percenként titokban rögzítette a közeli hangot, és elküldte az alkalmazás fejlesztőjének. Az iRecorder Screen Recorder elnevezésű alkalmazás 2021 szeptemberétől érhető el a Google Playen, mint egy valós alkalmazás, amely lehetővé tette a felhasználók számára, hogy rögzítsék Android-eszközeik képernyőjét. Tizenegy hónappal később az alkalmazást frissítették, és új funkciókat kapott. Lehetővé tette az eszköz mikrofonjának távoli bekapcsolását és hangrögzítést, a támadók által vezérelt szerverhez való csatlakozást, valamint az eszközön tárolt hang- és egyéb érzékeny fájlok leltöltését.
A kémfunkciókat az AhMyth, egy nyílt forráskódú RAT kódja segítségével valósították meg, amelyet az elmúlt években több más Android-alkalmazásba is beépítettek. Miután a RAT-ot hozzáadták az iRecorderhez, a korábban jóindulatú alkalmazás összes felhasználója frissítéseket kapott, amelyek lehetővé tették telefonjaik számára, hogy rögzítsék a közeli hangot, és egy titkosított csatornán keresztül elküldhessék azt a fejlesztő által kijelölt szerverre. Az idő előrehaladtával az AhMyth-ből átvett kód erősen módosult, ami azt jelzi, hogy a fejlesztő ügyesebbé vált a nyílt forráskódú RAT-tal.
Lukas Stefanko, sz ESET kutatója szerint az iRecorder első verziója, amely tartalmazta a rosszindulatú funkciót, az 1.3.8 volt, amelyet 2022 augusztusában tettek elérhetővé.
Az ESET megosztotta az azonosítshok szükséges mutatókat és a MITER ATT&CK technikákat is.