Небезпечний вірус на Android, замаскований під месенджер, захопив Google Play

Android-шпигун SonicSpy поширюється навіть в офіційному Google Play

Новий Android-шпигун SonicSpy, замаскований під месенджер, потайки записує розмови, фотографує і здійснює дзвінки. Шкідливе програмне забезпечення пробралася і в Google Play

Зловмисники наповнили магазини додатків для Android, включаючи офіційний Google Play, великою кількістю шпигунських програм в рамках загального сімейства. Вони дозволяли відстежувати практично кожна дія заражених пристроїв.

Шкідливе програмне забезпечення SonicSpy здатне в фоновому режимі записувати дзвінки і аудіо дані, робити фотографії, здійснювати дзвінки, відправляти текстові повідомлення на задані зловмисниками номера, відстежувати історію дзвінків, контакти і дані про точках доступу Wi-Fi. Фактично, SonicSpy може виконувати 73 різних команди, отриманих з віддаленого джерела. Підозрюється, що ці програми створено розробниками зловредів з Іраку.

Шпигунське ПЗ позиціонувалася як додатки для обміну повідомленнями. Рекламуючи функціональні можливості месенджера, зловмисники намагалися уникнути підозр користувачів, в той же час здійснювалася крадіжка даних і їх передача на командний і контрольний сервер.

Програма SonicSpy була виявлена ​​дослідниками з Lookout. Вони виявили три версії шпигунських програм в офіційному Google Play, кожне з них пропонувалося в якості сервісу для обміну повідомленнями. Після цього Google видалила з магазину ці додатки: Soniac, Hulk Messenger і Troy Chat. Разом з тим, багато інших версії шпигунського ПЗ залишаються в доступі в сторонніх магазинах додатків. На момент видалення з Google Play, додаток Soniac було завантажено користувачами більше 1 тис. Разів, але менше 5 тис. Разів.

При завантаженні з Google Play шкідливе ПО SonicSpy ховається від жертви і видаляє значок свого запуску з меню смартфона. Потім воно підключиться до командного сервера і намагається завантажити і встановити модифіковану версію програми Telegram. Це змінений додаток містить шкідливі функції, які дозволяють зловмисникам отримати значний контроль над пристроєм. Неясно, націлені зловмисники на певних користувачів або ж вони намагаються отримати будь-яку можливу інформацію про тих, хто завантажує шкідливе ПО.

Дослідники проаналізували зразки SonicSpy і виявили, що вони містять схожість зі шпигунським програмним забезпеченням Spynote, виявленим в середині минулого року. SonicSpy і Spynote, використовують DNS сервіси і обидва працюють через нестандартний порт 2222. Дослідники не виключають, що незабаром в офіційних магазинах додатків може з'явитися чергова модифікація шпигунського ПЗ, так як, судячи з усього, процес його розробки автоматизований.