В приложениях Google Play нашли шпионскую программу SonicSpy

В приложениях, представленных в Google Play, нашли шпионскую программу под названием SonicSpy. За 6 месяцев число таких проблемных программ превысило несколько тысяч. Распространение зараженного ПО стартовало в феврале 2017 года.



Эксперты Lookout считают, что распространением вирусных приложений занимаются хакеры из Ирака. Суммарно семейство SonicSpy включает порядка 73 удаленных инструкций, однако отдельные из них реализованы в разных приложениях. В частности, зараженные версии ПО для обмена сообщениями позволяют тайно записывать звук, делать фотоснимки и делать исходящие вызовы. Вдобавок, вирус может передавать текстовые послания на номера в телефонной книге устройства, собирать статистику вызовов, контакты и сведения о Wi-Fi.
После пуска SonicSpy ликвидирует свой значок для сокрытия, после чего пытается соединиться со своим командным центром. Вирус пытается установить свою версию Telegram, сохраняемую в каталоге под титулом su.apk. Анализируя выявленные образцы, исследователи обнаружили схожесть с SpyNote.
Основываясь на большом количестве показателей, исследователи сделали предположение о том, что новинка создавалась теми же, кто разрабатывал предыдущий вирус. В соответствии с данными Lookout, SonicSpy и SpyNote отличаются общими чертами. В соответствии со словами экспертов, киберпреступники, которые стоят за SpyNote, вводят вредоносный код в легитимное ПО, а у пользователей имеется возможность взаимодействовать с полностью законными функциями.
Автор: Валерий Антонов