DUTCH

Android app stores overspoeld met 1.000 spyware apps

157

Hackers hebben overspoeld Android app stores, inclusief de officiële Google Play store – met meer dan duizend spyware apps die het vermogen hebben om te controleren vrijwel elke actie op een besmette apparaat.

Nagesynchroniseerde SonicSpy, de malware kan stil gesprekken opnemen en audio, foto ‘ s, oproepen, sms-berichten versturen naar telefoonnummers die door de aanvallers, monitor roept logs en contacten en monitoren van informatie over de Wi-Fi-toegangspunten.

In totaal SonicSpy kan besteld worden om op afstand uit te voeren 73 verschillende commando ‘ s en zijn vermoedelijk het werk van de malware-ontwikkelaars in Irak.

Op de markt gebracht als een messaging-toepassing, de malware voert de vermelde messaging functie om te voorkomen dat gebruikers om verdachte van het downloaden, terwijl al die tijd het stelen van hun gegevens en het overbrengen naar een command and control-server.

SonicSpy is ontdekt door onderzoekers op Zoek nadat ze ontdekt zijn drie versies van het leven in de officiële Google Play app store, elke geadverteerd als een messaging-dienst.

Google heeft sinds verwijderd van de schadelijke apps genoemd soniac, hulk messenger en troy chat – uit de winkel, maar vele andere versies blijven beschikbaar op de toepassing van derden markten en de malware kan al duizenden keren gedownload. Op het moment van verwijdering uit Google Play, soniac had gedownload tussen de 1.000 en 5.000 keer.

Wanneer gedownload van Google Play, Sonic Spy zal zich verbergen van het slachtoffer en verwijder de launcher pictogram van de smartphone menu, voordat er verbinding met een command and control-server en een poging om te downloaden en installeren van een aangepaste versie van het Telegram app.

Deze aangepaste app bevat het schadelijke onderdelen waarmee de aanvallers te krijgen aanzienlijke controle over het apparaat. Het is onduidelijk of de aanvallers zijn gericht op specifieke gebruikers, of als ze proberen te houden van alle informatie die zij kunnen van iedereen die downloads van de malware.

De onderzoekers analyseerden monsters van SonicSpy en hebben gevonden dat het bevat overeenkomsten met een spyware genaamd Spynote, die voor het eerst werd ontdekt in het midden van vorig jaar.

Zowel Sonic Spy en Spynote code delen, gebruik maken van dynamische DNS-services en ze draaien allebei op de niet-standaard poort 2222, toonaangevende Zoek te suggereren dat de twee families van malware zijn gebouwd door dezelfde hacken werking.

Gebruikers misleiden met behulp van een volledig functionerende applicatie terwijl u in het geheim exfiltrates gegevens naar de aanvallers is ook bekend als tactiek gebruikt door dezelfde aanval van de groep. De rekening achter de kwaadaardige apps genoemd ‘iraqwebservice’ vooraanstaande onderzoekers suggereren de campagne is van Iraakse afkomst.

Wie zit er achter de malware, “Spoofing een gecodeerde communicatie-app toont ook de acteur de interesse in het verzamelen van gevoelige informatie,” zei Michael Flossman, Veiligheid Diensten voor Onderzoek Tech Lead op Zoek.

En terwijl SonicSpy is verwijderd uit de Google Play Store voor nu, Flossman waarschuwt dat het zou kunnen krijgen in het weer.

“De acteurs achter deze familie hebben aangetoond dat ze in staat om hun spyware in de officiële app store en als het actief wordt ontwikkeld, en de bouw-proces is geautomatiseerd, is het waarschijnlijk dat SonicSpy zal de oppervlakte weer die in de toekomst,” zei hij.

Google houdt de overgrote meerderheid van de 1,4 miljard Android-gebruikers beschermt tegen malware, maar kwaadaardige apps nog steeds regelmatig door naar de officiële winkel.

LEES MEER OVER CYBER CRIME

Kan Google win de strijd met Android malware?Cyberoorlog: Het smart person ‘ s guide [TechRepublic]russische Android-malware bijgehouden oekraïense militairen: Rapport [CNET]Trident iOS gebreken: de Onderzoekers detail hoe de spyware bleef hiddenThis Android spyware kan het opnemen van gesprekken, het maken van schermafbeeldingen en video, doelen Gmail, LinkedIn, Snapchat gegevens