En septembre 2021, l’application « iRecorder Screen Recorder » a été lancée avec succès sur la boutique d’application de Google. Téléchargée plus de 50 000 fois, cette application permettait aux utilisateurs d’appareils Android de réaliser des enregistrements de leurs écrans. Une mise à jour a totalement changé la donne, car l’application iRecorder est devenue un logiciel espion, et ce à l’insu des consommateurs.
C’est la société de cybersécurité ESET qui a révélé au grand jour cette machination ô combien préjudiciable pour les utilisateurs ayant téléchargé l’application sur leurs appareils.
iRecorder enregistre des fichiers audio des utilisateurs
Tout a commencé avec une mise à jour envoyée il y a de cela un an vers les utilisateurs de l’application iRecorder. Dans le domaine des applications mobiles, l’opération de mise à jour est une garantie que les développeurs font évoluer leurs produits, en fixant des bugs ou en y ajoutant de nouvelles fonctionnalités. Ainsi, les usagers bénéficient d’une expérience plus agréable et plus fluide sur ces applications mobiles.
Sauf qu’avec iRecorder, ça n’a pas été le cas. En effet, des chercheurs de l’ESET ont découvert qu’une fonctionnalité fantôme avait été rajoutée à iRecorder. Basée sur le cheval de Troie d’accès à distance open source AhMyth, cette fonctionnalité avait pour consigne d’activer le microphone de l’appareil infecté et de réaliser un enregistrement audio d’une durée d’une minute. De plus, iRecorder réalisait également des vols de données, de fichiers (audio, vidéo, documents, etc.) et d’informations enregistrées sur la mémoire de l’appareil infecté.
Tout cela se faisait à un rythme régulier, avec une mise en route automatique de cette fonctionnalité toutes les 15 minutes. Les données volées et recueillies par iRecorder seraient par la suite envoyées vers l’un des serveurs du concepteur de l’application.
Une menace identifiée, mais sans preuve
Baptisée AhRat, ce code malveillant qui a infecté les nombreux appareils Android via l’application iRecord Screen Record a été identifié uniquement sur le Google Play Store. De plus, les chercheurs de l’ESET ont pu retrouver des traces de AhRat, un an après la mise à jour contenant le code malveillant. Lukáš Štefanko, le chercheur de l’ESET qui a découvert le code malveillant et l’a étudié s’est exprimé sur cette découverte très inquiétante pour la sécurité des utilisateurs Android : « Le cas d’AhRat est un bon exemple de la façon dont une application initialement légitime peut se transformer en une application malveillante, même après de nombreux mois, pour espionner ses utilisateurs et compromettre leur confidentialité. Il est possible que le développeur de l’application ait eu l’intention de constituer une base d’utilisateurs avant de compromettre leurs appareils Android via une mise à jour ou qu’un acteur malveillant ait introduit cette modification dans l’application. Jusqu’à présent, nous n’avons aucune preuve quant à ces hypothèses. »
L’identité de l’auteur du code et ses motivations restent actuellement méconnues. M. Štefanko remarque cependant qu’il est inhabituel qu’un développeur télécharge une application légitime, attend près d’un an avant d’insérer un code malveillant à une mise à jour.
Cela pourrait montrer qu’il s’agit d’une opération d’espionnage d’une plus grande envergure. Les utilisateurs d’appareils Android peuvent cependant souffler. En effet, depuis la sortie de la version 11 d’Android, l’OS effectue une mise en arrêt des applications qui sont inutilisées durant plusieurs mois, en retirant au passage leurs autorisations d’accès aux fichiers de l’appareil.