0
Hackere har oversvømmet Android app stores, herunder den officielle Google Play store, med over 1.000 spyware apps, som har kapacitet til at overvåge næsten hver handling på en inficeret enhed.
Døbt SonicSpy, malware kan stille optage opkald og lyd, tage billeder, foretage opkald, sende sms-beskeder til numre, der er angivet af angribere, og overvåge opkald logs, kontaktpersoner, og oplysninger om wi-fi-adgangspunkter.
I alt SonicSpy kan blive bestilt til at fjernstyre udføre 73 forskellige kommandoer og sin mistanke om, at være udført af malware udviklere i Irak.
Markedsføres som en messaging-programmet, den malware udfører den annoncerede messaging-funktion for at undgå, at brugerne får mistanke om download, mens de hele stjæle deres data og overføre det til en kommando og kontrol-server.
SonicSpy er blevet afsløret af forskere på Udkig efter fandt de tre versioner af det levende i den officielle Google Play app store, hver annonceret som en messaging service.
Google har siden fjernet den skadelige apps — kaldet soniac, hulk messenger og troy chat — fra sin butik, men mange andre versioner fortsat er tilgængelige på tredje-parts program markeder og malware, der kunne have været hentet tusindvis af gange. På tidspunktet for fjernelse fra Google Play, soniac var blevet hentet mellem 1.000 og 5.000 gange.
SonicSpy i Google Play butik.
Billede: Lookout
Når du har downloadet fra Google Play, Sonic Spion vil skjule sig selv fra offeret og fjerne sin launcher-ikonet fra din smartphone menu. Det vil derefter oprette forbindelse til en kommando og kontrol-server, og forsøge at downloade og installere en modificeret version af det Telegram, som app.
Denne skik app indeholder ondsindede funktioner, som giver fjernangribere at opnå betydelig kontrol over enheden. Det er uklart, om angriberne er rettet mod bestemte brugere, eller hvis de prøver at få fat i de oplysninger, som de kan fra alle, der downloader malware.
Forskere analyserede prøver af SonicSpy og har fundet, at det indeholder ligheder med en spyware kaldet Spynote, afdækket i midten af sidste år.
Ransomware: executive-guide til en af de største trusler på nettet
Alt, hvad du behøver at vide om ransomware: sådan begyndte det, hvorfor det er boomer, hvordan man beskytter sig mod det, og hvad man skal gøre, hvis din PC er inficeret.
Læs Mere
SonicSpy og Spynote dele kode, gøre brug af den dynamiske DNS-tjenester, og de begge kører på den ikke-standard port 2222, der fører Udkig for at foreslå, at de to familier af malware, er blevet bygget af den samme hacking drift.
At narre brugere til at bruge en fuldt fungerende program, mens det hemmeligt exfiltrates data til angriberne er også kendt som en taktik, der anvendes af den samme angreb gruppe. Kontoen bag ondsindede apps kaldes ‘iraqwebservice’, førende forskere til at foreslå, at kampagnen er af Irakisk oprindelse.
Hvem står bag malware, “Spoofing en krypteret kommunikation app’ en viser også aktørers interesse i at indsamle følsomme oplysninger,” siger Michael Flossman, sikkerhed research services tech lead på Udkig.
Og mens SonicSpy er blevet fjernet fra Google Play-Butikken for nu, Flossman advarer om, at det kunne komme ind i det igen.
“Skuespillerne bag denne familie har vist, at de er i stand til at få deres spyware i den officielle app-butik, som det er aktivt ved at blive udviklet, og dens bygge processen er automatiseret, er det sandsynligt, at SonicSpy vil komme op til overfladen igen i fremtiden,” sagde han.
Google holder langt de fleste af sine 1,4 milliarder Android-brugere computer mod malware, men ondsindede apps stadig jævnligt komme igennem til den officielle butik.
LÆS MERE OM IT-KRIMINALITET
Kan Google vinde sin kamp med Android malware?Cyberkrig: smart person ‘ s guide [TechRepublic]russisk Android-malware, der spores ukrainske militær: Rapport [CNET]Trident iOS fejl: Forskere detaljer, hvordan spyware opholdt sig hiddenThis Android-spyware kan optage opkald, tage screenshots og video, mål Gmail, LinkedIn, Snapchat data
0