Um aplicativo de gravar tela para o Android se tornou malicioso após receber uma atualização, ganhando capacidades de roubar gravações e arquivos do usuário. O app que estava disponível na Google Play Store e foi retirado do ar após a descoberta do perigo chegou a acumular mais de 50 mil downloads pela funcionalidade simples de registrar o que acontece na tela do smartphone.

Nos bastidores, porém, o iRecorder - Screen Recorder passou a rodar um trojan de acesso remoto a partir de sua atualização 1.3.8, liberada em agosto de 2022. O malware conhecido como AhRat é uma variação de outro vírus já conhecido, o AhMyth, e seria parte de uma campanha de espionagem, conforme indicado pelas funcionalidades da própria aplicação.

Além de desviar as gravações de tela para servidores controlados pelos criminosos, a praga também era capaz de ativar o microfone para ouvir o que acontece nos arredores sem a permissão do usuário. Enquanto isso, os arquivos disponíveis no celular eram varridos em busca de formatos específicos, que, se encontrados, também eram enviados aos bandidos.

Uma das hipóteses levantadas pela ESET, empresa de segurança que localizou o aplicativo malicioso na loja oficial do Google, é de que esta seja uma operação premeditada. A ideia seria criar uma base de usuários a partir de um software legítimo que, mais tarde, receberia suas capacidades de espionagem. Entretanto, outro caminho possível é o de comprometimento da cadeia de suprimentos do próprio desenvolvedor, que também fornece outros apps na Play Store e outros marketplaces, sem funcionalidades maliciosas.

Por outro lado, chamou a atenção dos especialistas o nível de especialização do AhRat, que conta com elementos de furtividade e também uma integração bem-feita com o código do próprio iRecorder, de forma a não levantar suspeitas. A variante encontrada no app de gravação de tela é única, segundo a ESET, mas outras modificações do código original do AhMyth vêm sendo vistas em infecções de celulares Android desde 2019.

Faça uma checagem de segurança no Android

A desinstalação imediata do iRecorder - Screen Recording é a principal medida de segurança indicada, mas não a única. O software já foi retirado da Google Play Store, mas quem o baixou e o manteve atualizado a partir de agosto de 2022 ainda pode estar em risco; remover o app, entretanto, impede que ele continue tendo acesso a arquivos.

Isso também vale para um recurso de segurança introduzido a partir do Android 11, que revoga as permissões de softwares pouco usados. Sem elas, o malware não seria capaz de agir, o que pode ter garantido a proteção de alguns usuários que tinham a praga instalada no aparelho, mas não a utilizavam com frequência.

Ainda assim, é importante realizar uma checagem de segurança no smartphone Android, rodando softwares antivírus e outras plataformas de segurança em busca de problemas. Na hora de baixar apps, os usuários também devem preferir soluções reconhecidas e de desenvolvedores certificados, que tenham reputação no mercado; realizar pesquisas online e buscar por análises das soluções ou registros de problemas de segurança pode ajudar nessa opção.

Use sempre lojas oficiais de seu sistema operacional ou fabricante para realizar o download de apps e fique atento às permissões solicitadas, tentando imaginar se elas fazem sentido com a funcionalidade do software. Caso desconfie, interrompa o uso, apague a aplicação e dê preferência àquelas de desenvolvedores conhecidos.