headless 曰く、

Google Play で無害なアプリとしてリリース後、1 年近くたってマルウェア化したアプリについて、発見した ESET が報告している (WeLiveSecurity の記事、 Ars Technica の記事、 The Verge の記事、 The Register の記事)。

このアプリ「iRecorder — Screen Recorder」(Internet Archive) は 2021 年 9 月 19 日に Google Play で最初にリリースされ、2022 年 8 月頃にはバージョン 1.3.8 でマルウェア化していたという。当初は名前の通りデバイスの画面を録画するアプリだったが、その後カメラからのビデオ撮影機能なども追加されたらしい。

マルウェア化したバージョンはオープンソースの遠隔操作ツール AhMyth Android RAT をベースにしたコードが追加されたもので、ESET は AhRAT と名付けている。AhRAT は C&C サーバーに接続してマイクから録音した音声 (調査時点では 60 秒) を送信するとともに新しい設定ファイルを受信する。指定された拡張子のファイルを送信する機能も搭載されていたほか、設定ファイルには実装されていないコマンドも含まれていたそうだ。

アプリ開発者が無害なアプリを Google Play でリリースし、1 年近く待ってからマルウェアに変えるのは珍しいという。なお、「iRecorder」という名称のアプリは Google Play で複数公開されているが、このアプリは削除済みだ。