0
Hackare har tagit sig in Android app-butiker, bland annat den officiella Google Play store, med över 1 000 spyware program, som har kapacitet att övervaka nästan varje åtgärd på en infekterad enhet.
Dubbade SonicSpy, malware kan tyst spela in samtal och ljud, fotografera, ringa samtal, skicka sms till ett nummer som anges av angriparna, och övervaka samtal loggar, kontakter och information om wi-fi-åtkomstpunkter.
Totalt SonicSpy kan beställas på distans utföra 73 olika kommandon och dess misstänks för att vara ett verk av skadlig kod utvecklare i Irak.
Marknadsförs som en messaging application, malware utför den utannonserade meddelanden funktion för att undvika att användare blir misstänksam för nedladdning, men samtidigt stjäl deras data och överföra det till ett kommando och kontroll av server.
SonicSpy har upptäckts av forskare på Jakt efter de fann tre versioner av den live i den officiella Google Play app store, varje marknadsförs som en meddelandetjänst.
Google har sedan bort den skadliga appar-som kallas soniac, hulk messenger och troy chatta — från sin butik, men många andra versioner fortfarande finns tillgängliga för tredje part ansökan marknader och skadlig kod kan ha laddats ner tusentals gånger. Vid uttaget från Google Play, soniac hade laddats ner mellan 1 000 och 5 000 gånger.
SonicSpy i Google Play store.
Bild: Jakt
När du laddat ner från Google Play, Sonic Spy kommer att gömma sig från offret och ta bort sin launcher-ikonen från smartphone-menyn. Det kommer då att ansluta till ett kommando och kontroll av server och försök att ladda ner och installera en modifierad version av Telegram app.
Den anpassade appen innehåller skadliga funktioner som tillåter angripare att få en betydande kontroll över enheten. Det är oklart om angriparna är inriktade på specifika användare, eller om de försöker att få tag på någon information som de kan från alla som laddar ner skadlig kod.
Forskare har analyserat prover av SonicSpy och har funnit att det innehåller likheter med ett spionprogram som kallas Spynote, avslöjade i mitten av förra året.
Ransomware: En verkställande guide till en av de största hot på webben
Allt du behöver veta om ransomware: hur det började, varför det är blomstrande, hur man skyddar sig mot det, och vad gör du om din DATOR är infekterad.
Läs Mer
SonicSpy och Spynote dela kod, använder sig av dynamisk DNS-tjänst och de båda köras på icke-standard 2222 port, som leder Jakt som tyder på att de två familjer av skadlig kod har byggts av samma hacka drift.
Att lura användare till att använda ett fullt fungerande program medan det i hemlighet exfiltrates data för att angriparna är också känd som en taktik som används av samma attack grupp. Kontot bakom den skadliga appar heter “iraqwebservice”, vilket leder forskarna att föreslå kampanjen är från Irak.
Vem ligger bakom skadlig kod, “Spoofing en krypterad kommunikation appen visar också aktörernas intresse för att samla in känslig information”, sade Michael Flossman, security services forskning tech lead på Jakt.
Och medan SonicSpy har tagits bort från Google Play Store för nu, Flossman varnar för att det potentiellt skulle kunna komma in i det igen.
“Aktörer bakom denna familj har visat att de klarar av att få sina spionprogram i de officiella app store och eftersom det är aktivt utvecklas, och bygga processen är automatiserad, det är troligt att SonicSpy kommer upp till ytan igen i framtiden”, sade han.
Google håller de allra flesta av sina 1,4 miljarder Android-användare säkra från skadliga program, men skadliga appar som fortfarande regelbundet komma till den officiella butik.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Kan Google vinna kampen med Android-malware?Cyberkrig: smart person ‘ s guide [TechRepublic]ryska Android-malware spåras ukrainska militära: Rapport [MAG]Trident iOS brister: Forskare detalj hur spyware stannade hiddenThis Android spionprogram kan spela in samtal, ta skärmbilder och video, mål Gmail, LinkedIn, Snapchat data
0