据 ESET 的研究人员称，一款在 Google Play 商店中下载量超过 50,000 次的屏幕录像机应用程序被发现使用设备的麦克风悄悄地录制音频并窃取文件，这表明它可能是间谍活动的一部分。

iRecorder 是一个合法的应用程序，于 2021 年 9 月可用，远程访问木马 ( RAT ) AhRat 很可能在 2022 年添加到其中。该应用程序目前在应用程序商店中不可用。

AhRat：远程访问木马

该应用程序中引入的恶意代码是开源RAT AhMyth的定制版本 。RAT 可以允许威胁行为者访问受害者的设备并远程控制它。它还可以具有类似于间谍软件和跟踪软件的功能。

RAT 的定制版本 AhRat 表明恶意应用程序的作者投入了大量精力来理解应用程序和后端的代码，最终对其进行调整以满足自己的需求。

这不是官方商店第一次提供基于 AhMyth 的 Android 恶意软件；ESET 此前曾在 2019 年发布过对此类木马化应用程序的研究。

2019 年，该间谍软件作为提供无线电流媒体的恶意应用程序两次规避了谷歌的应用程序审查流程。

研究员在报告中说：“AhRat 研究案例是一个很好的例子，说明最初合法的应用程序如何转变为恶意应用程序，即使经过数月之后，它仍会监视用户并损害他们的隐私。” 

虽然应用程序开发人员可能打算在通过更新破坏他们的 Android 设备之前建立用户群，或者恶意行为者在应用程序中引入了此更改；到目前为止，我们还没有任何证据支持这两种假设。

iRecorder 应用程序也可以在替代和非官方的 Android 市场上找到，开发人员还在 Google Play 商店中提供其他应用程序，但它们不包含恶意代码。

恶意代码的功能

木马化的 iRecorder 应用程序可以从设备的麦克风录制周围的音频，并将其上传到攻击者的命令和控制服务器。

它还可以从设备文件中渗出，扩展名代表保存的网页、图像、音频、视频和文档文件，以及用于压缩多个文件的文件格式。 

如果 Android 用户安装了没有任何恶意功能的早期版本的 iRecorder（1.3.8 之前的版本），如果他们随后手动或自动更新应用程序，即使没有授予任何进一步的应用程序权限，也会在不知不觉中将他们的设备暴露给 AhRat许可批准。 

针对此类恶意行为的预防措施已经以应用程序休眠的形式在 Android 11 及更高版本中实施。

此功能有效地将已休眠数月的应用程序置于休眠状态，从而重置其运行时权限并防止恶意应用程序按预期运行。 

各种恶意软件针对的安卓手机

安卓设备越来越成为威胁行为者的一个有吸引力的目标。

据称，本周早些时候，另一种名为 DogeRAT 的开源 Android 恶意软件被发现针对多个行业的庞大客户群，尤其是银行业和娱乐业。

该恶意软件伪装成合法应用程序，并通过社交媒体和消息传递应用程序进行分发。

一旦安装，恶意软件就可以从受害者的设备中窃取敏感信息，例如联系人、消息和银行凭证。 

该恶意软件还可用于控制受害者的设备并执行恶意操作，例如发送垃圾邮件、进行未经授权的支付、修改文件、查看通话记录，甚至通过受感染设备的前后摄像头拍照。 

本月早些时候，据趋势科技称，网络犯罪团伙 Lemon Group 设法在全球约 890 万部基于 Android 的智能手机、手表、电视和电视盒上预装了一种名为 Guerrilla 的 恶意软件。

Guerilla 恶意软件可以加载额外的有效负载，从 SMS 文本中拦截一次性密码，从受感染的设备设置反向代理，并渗透 WhatsApp 会话。