ESET phân tích, mã độc trong iRecorder là biến thể của AhRat, một Android Remote Access Trojan (RAT) mã nguồn mở. AhRat có khả năng theo dõi vị trí, đánh cắp thông tin liên lạc, tin nhắn, ảnh và ghi âm. Đặc biệt, AhRat trong iRecorder tập trung khai thác quyền truy cập để ghi âm, trích xuất dữ liệu và tệp tin với mục đích gián điệp.
Nhà nghiên cứu bảo mật Lukas Stefanko của ESET xác nhận, vào thời điểm phát hành tháng 9/2021, iRecorder không chứa phần mềm độc hại nào.
Tuy nhiên, kể từ khi mã độc AhRat được cài vào dưới dạng cập nhật phần mềm, ứng dụng này mới bắt đầu lén lút truy cập microphone của người dùng và tải dữ liệu điện thoại lên máy chủ do tin tặc điều khiển.
Chuyên gia Stefanko cho rằng, không rõ ai là thủ phạm cài mã độc lên ứng dụng hoặc nguyên nhân phía sau. Nhiều khả năng, nó có thể là một phần trong chiến dịch theo dõi lớn, nơi mà tin tặc tìm cách đánh cắp thông tin về các mục tiêu mà chúng lựa chọn.
"Rất hiếm khi một nhà phát triển tải lên ứng dụng hợp pháp rồi chờ một năm sau đó để cập nhật với mã độc", ông Stefanko nói thêm.
Hiện tại, iRecorder – Screen Recorder đã bị xoá trên kho ứng dụng Google Play. Tính đến thời điểm bị gỡ bỏ, ứng dụng này đã có hơn 50.000 lượt tải.
Các chuyên gia an ninh khuyến cáo, người dùng nên gỡ bỏ ứng dụng iRecorder ngay lập tức để tránh rủi ro mất an toàn thông tin. Đồng thời, các nhà phát triển ứng dụng Android cần nâng cao cảnh giác để ngăn chặn kịp thời các đe dọa từ việc RAT mã nguồn mở xâm nhập hệ sinh thái.