Lançado em setembro de 2021, o programa tinha a funcionalidade de gravar a tela do celular, tendo acesso e permissão para acessar a câmera, microfone e arquivos do aparelho. Assim, quando atualizado para versão 1.3.8 - lançada em agosto do ano passado - o malware não teve problemas para realizar seus objetivos.
Os perigos apresentados por ataques de programas maliciosos não é algo novo; segundo dados do AV-TEST Institute, mais de 450.000 novos malwares e PUAs - potentially unwanted applications, ou aplicações potencialmente indesejadas - são registrados todos os dias. Entretanto, o que intriga os pesquisadores é o modo como o spyware foi distribuído.
É algo raro um programa legítimo ser disponibilizado por um desenvolvedor para ter um código malicioso adicionado a ele depois de quase um ano. O AhRat também não foi encontrado em nenhum outro local. Vale ressaltar que ele é uma versão altamente modificada da ferramenta open-source AhMyth Android RAT - remote access trojan, ou trojan de acesso remoto - e, segundo a ESET, quem quer que seja que tenha feito as alterações precisou de um amplo conhecimento tanto do aplicativo quanto do backend.
De acordo com Luká tefanko, pesquisador da ESET, o estudo do caso AhRat serve como um bom exemplo de como uma aplicação inicialmente legítima pode se transformar em uma maliciosa, mesmo muitos meses depois, espionando seus usuários e comprometendo sua privacidade. Enquanto é possível que o desenvolvedor do app tenha tido a intenção de construir uma base de usuários antes de comprometer seus dispositivos Android por meio de uma atualização ou que um ator malicioso tenha introduzido essa mudança no app; até agora, não temos evidências para nenhuma dessas hipóteses."
Os responsáveis e seus motivos permanecem desconhecidos, mas as funcionalidades da ameaça sugerem uma campanha de espionagem, segundo os especialistas. Além do recurso de gravação de tela, o aplicativo pode extrair dados como imagens, áudios, vídeos, páginas da web salvas, entre outros, além de poder captar o áudio ambiente por meio do microfone do aparelho infectado.
O ocorrido serve para reforçar a necessidade do investimento em segurança cibernética, além alertar para possibilidades normalmente negligenciadas: até mesmo um programa considerado legítimo e confiável pode acabar sendo transformado em uma ameaça.
André Morel | Itshow
