Злоумышленники наводнили магазины приложений для Android, включая официальный Google Play, большим количеством шпионских приложений в рамках общего семейства. Они позволяли отслеживать практически каждое действие заражённых устройств.
Вредоносное программное обеспечение SonicSpy способно в фоновом режиме записывать звонки и аудио данные, делать фотографии, совершать звонки, отправлять текстовые сообщения на заданные злоумышленниками номера, отслеживать историю звонков, контакты и данные о точках доступа Wi-Fi. Фактически, SonicSpy может исполнять 73 различных команды, полученных из удалённого источника. Подозревается, что данное ПО создано разработчиками зловредов из Ирака.
Шпионское ПО позиционировалось в качестве приложений для обмена сообщениями. Рекламируя функциональные возможности мессенджера, злоумышленники пытались избежать подозрений пользователей, в то же время осуществлялась кража данных и их передача на командный и контрольный сервер.
ПО SonicSpy было обнаружено исследователями из Lookout. Они выявили три версии шпионских приложений в официальном Google Play, каждое из них предлагалось в качестве сервиса для обмена сообщениями. После этого Google удалила из магазина эти приложения: Soniac, Hulk Messenger и Troy Chat. Вместе с тем, многие другие версии шпионского ПО остаются в доступе в сторонних магазинах приложений. На момент удаления из Google Play, приложение Soniac было загружено пользователями более 1 тыс. раз, но менее 5 тыс. раз.
При загрузке из Google Play вредоносное ПО SonicSpy прячется от жертвы и удаляет значок своего запуска из меню смартфона. Затем оно подключится к командному серверу и пытается загрузить и установить модифицированную версию приложения Telegram. Это изменённое приложение содержит вредоносные функции, которые позволяют злоумышленникам получить значительный контроль над устройством. Неясно, нацелены ли злоумышленники на определенных пользователей или же они пытаются получить любую возможную информацию о тех, кто загружает вредоносное ПО.
Исследователи проанализировали образцы SonicSpy и обнаружили, что они содержат сходство со шпионским программным обеспечением Spynote, выявленным в середине прошлого года. SonicSpy и Spynote, используют DNS сервисы и оба работают через нестандартный порт 2222. Исследователи не исключают, что в скором времени в официальных магазинах приложений может появиться очередная модификация шпионского ПО, так как, судя по всему, процесс его разработки автоматизирован.
Источник: zdnet