Tietoturvatutkijan löydös on karu muistutus siitä, ettei laadukaskaan sovelluskauppa aina tarjoa täyttä turvaa mobiilisovellusten käyttäjälle. Tietoturvayhtiö Esetin tutkija Lukas Stefanko kertoo Google Play Kaupasta löytyneestä sovelluksesta, jonka luonne on muuttunut häijysti julkaisun jälkeen.
Ars Technica uutisoi Stefankon löydöksestä. Syyskuussa 2021 Play Kaupassa julkaistiin viattomalta vaikuttava sovellus iRecorder Screen Recorder, joka nimensä mukaisesti on tarkoitettu tallentamaan videota puhelimen ruudun tapahtumista.
11 kuukautta myöhemmin, elokuussa 2022, sovellus sai päivityksen ja täysin uuden toiminnallisuuden. Mukaan tuli troijalainen, joka lisäsi sovellukseen häijyn piirteen. Se alkoi puhelimen mikrofonien avulla tallentaa ympäristön ääniä 15 minuutin välein ja lähettää tallenteitaan kehittäjän palvelimelle.
Tiedossa ei ole, minkälaista vakoilua sovelluksella on ollut tarkoitus tehdä, eli kuka sen takana on ja kenen jutustelua tarkalleen ottaen haluttiin talteen saada.
Pohjana käytetty avoimen lähdekoodin etäohjattava troijalainen, nimeltään AhMyth, on ollut vakoilun välineenä aiemmin ainakin Iranissa ja Intiassa. Intiassa sen avulla luotiin takaovi asevoimien ja valtion työntekijöiden Android-laitteisiin. Tuossa tapauksessa jakelu ei kuitenkaan tapahtunut Googlen sovelluskaupan kautta.
Epäselvää on sekin, halusiko sovelluksen kehittäjä itse kerätä käyttäjäkuntaa ennen kuin sovelluksesta tehtiin vakoileva, vai liittyykö tapaukseen ulkopuolinen verkkorikollinen, joka on sovelluksen saastuttanut.
Google on siivonnut sovelluksen ja merkit sen kehittäjästä sovelluskaupastaan kun tapaus tuli julkisuuteen. Yhtiö kertoo aktiivisesti pitävänsä sovelluskauppaansa haittaohjelmista puhtaana, mutta tapaus toimii osoituksena siitä, että myöhemmin saapuva päivitys voi tehdä aiemmin aivan viattomastakin sovelluksesta häijyn haittaohjelman.