Aplikasi berbahaya dilaporkan beredar di toko aplikasi Android, Google Play Store. Aplikasi berbahaya ini disebut bernama iRecorder Screen Recorder. Aplikasi perekam layar itu disebut merekam suara dari HP pengguna tanpa izin. Laporan itu diungkap oleh Lukas Stefanko, seorang peneliti dari perusahaan keamanan jaringan Eset.
iRecorder Screen Recorder diketahui pertama kali dirilis pada September 2021. Menurut laporan Stefanko, awalnya, aplikasi "baik-baik" saja, namun memang meminta perizinan akses ke foto, media, file, dan mikrofon di HP pengguna.
Setelah 11 bulan dirilis, aplikasi ini merilis pembaruan ke versi 1.3.8 pada Agustus 2022 dengan fitur baru. Namun, fitur baru itu justru merugikan pengguna.
Pasalnya, Stefanko menemukan bahwa pembaruan aplikasi membawa kode berbahaya "dari AhMyth, sumber terbuka untuk RAT (trojan akses jarak jauh)".
Dengan kode berbahaya itu, iRecorder Screen Recorder jadi memiliki kemampuan untuk menyalakan mikrofon perangkat dan merekam suara dari jarak jauh, terhubung ke server yang dikendalikan penyerang, dan mengunggah audio dan file sensitif lainnya yang disimpan di perangkat. Semua dilakukan secara diam-diam alias tanpa izin pengguna. Seiring berjalannya waktu, kode yang diambil dari AhMyth banyak dimodifikasi. Ini mengindikasikan bahwa pengembang menjadi lebih mahir dengan RAT open source.
Stefanko pun mencoba menginstal aplikasi iRecorder Screen Recorder berulang kali pada perangkat di labnya. Ia menumukan hasil yang sama, yaitu iRecorder Screen Recorder menerima instruksi untuk merekam satu menit audio dan mengirimkannya ke server penyerang.