Додаток, який місяцями мирно працює на вашому телефоні, може раптово почати стежити за вами. Дослідники з кібербезпеки попереджають про нову загрозу — так званих «сплячих агентів». Це програми, які спочатку завойовують довіру користувачів та модераторів App Store чи Google Play, а потім за допомогою звичайного оновлення перетворюються на шкідливий софт.
Кейс iRecorder: диктофон-шпигун у фоні
Яскравим прикладом цієї тактики став популярний Android-застосунок iRecorder Screen Recorder. Він з’явився у Google Play у вересні 2021 року як абсолютно чистий софт для запису екрана. Проте у серпні 2022 року розробники випустили оновлення. Дослідник компанії ESET Лукаш Стефанко з’ясував, що в код інтегрували вірус AhMyth Android RAT (троян віддаленого доступу). Після оновлення додаток кожні 15 хвилин таємно записував хвилинні аудіофайли з мікрофона та зливав їх на сервер зловмисників.
Програму встигли завантажити понад 50 000 разів, перш ніж Google видалив її з магазину.
Аналіз дозволів: коли софт хоче забагато
| Доступ, який просить софт | Кому це дійсно потрібно | Коли це виглядає підозріло |
|---|---|---|
| Мікрофон та звукозапис | Месенджери, диктофони, відеоплеєри | Фоторедактори, калькулятори, ліхтарики |
| Доступ до фотогалереї | Соцмережі, графічні редактори | Програми-очисники сміття, віджети погоди |
| Контакти та СМС-повідомлення | Поштові клієнти, телефонні книги | Музичні програвачі, офлайн-ігри |
Зараз Google розробляє щомісячні звіти для користувачів, де показуватиме, який саме обсяг інформації та як часто передавали встановлені додатки. Головний захист від «сплячих агентів» — ваша власна уважність. Ретельно перевіряйте дозволи, які запитує програма, та критично ставтеся до відгуків у маркетах.
Підсумок
Дослідник компанії ESET Лукаш Стефанко виявив приклад шкідливої активності «сплячих агентів» на мобільних пристроях. Додаток для запису екрана iRecorder Screen Recorder понад рік функціонував як легітимний інструмент, проте після оновлення в серпні 2022 року отримав шкідливий код AhMyth Android RAT. Шпигунське оновлення дозволило програмі кожні 15 хвилин записувати розмови користувачів через мікрофон та надсилати дані розробникам. Google оперативно видалив програму, яка мала 50 тисяч завантажень, і наразі розробляє систему щомісячних звітів про підозрілу активність і фонову передачу даних додатків.
