Celkem tři aplikace na posílání zpráv v Google Play obsahovaly spyware s názvem SonicSpy. Podle bezpečnostních expertů se tento malware nacházel také ve více jak tisícovce oblíbených aplikací hostovaných mimo Google Play.
V Google Play byly napadené aplikace Soniac Messenger, Hulk Messenger a Troy Chat. Není přesně jasné jak dlouho mohly obsahovat samotný malware, ale konkrétně Soniac Meggenger byl naposledy aktualizován v dubnu. Od té doby si jej mohlo stáhnout až pět tisíc uživatelů. Google okamžitě po upozornění aplikace z Google Play stáhnul.
Malware mimo Google Play umístili útočníci hlavně do hodně stahovaných aplikací jako je například Pokémon GO, Netflix anebo Clash Roayal. Stahovat aplikace mimo Goolge Play je značně rizikové a je nutné dodržovat četná bezpečnostní opatření.
Expertům z Lookout se podařilo vystopovat původ malware v Iráku. Mají také podezření, že by tato skupina mohla vytváře aplikace jako Soniac Messenger ve velkém a schválně je infikovat malware. Soniac Messenger je postaven na upravené verzi aplikace Telegram.
A co vlastně SonicSpy dělá? Podle Lookout je velmi agresivní. Okamžitě po napadené se snaží ovládat zařízení oběti. Útočníci mají k dispozici 73 instrukcí, které mohou malware poslat. Například přístup ke kameře, SMS, nahlédnout do logu volaných čísel, informace o wi-fi atd. komunikace probíhá přes port 2222.
Podle některých indicií by SonicSpy mohl mít za cíl špehovat jen určitou skupinku lidí na středním východě. Michael Flossman z Lookout říká, že útočníci museli vynaložit opravdu hodně úsilí, aby spyware do Google Play dostali a takto dlouho udrželi.
Tento článek byl byl přečten 6231 krát