Эксперты компании Lookout обнаружили в Google Play Store как минимум три приложения, содержащие сложное шпионское ПО иракского происхождения.
Злоумышленник загрузил вредонос в магазин приложений под тремя разными названиями – Soniac, Hulk Messenger и Troy Chat. На момент обнаружения угрозы в Google Play Store было представлено лишь приложение Soniac, остальные были уже удалены, по всей видимости, самим разработчиком. Программа оснащена функционалом полноценного мессенджера, потому не вызывает никаких подозрений.
Эксперты Lookout обнаружили более тысячи вариантов данного шпионского инструмента, получившего название SonicSpy. По мнению исследователей, вредонос является новой версией более старого шпионского ПО для Android, известного как SpyNote.
Скорее всего, вредоносные семейства созданы одним и тем же разработчиком, о чем свидетельствуют несколько фактов. Во-первых, обе программы используют сервисы динамических DNS, запущенных на нестандартном порту 2222. Во-вторых, они обе были декомпилированы, в них был внедрен вредоносный код, а затем перекомпилированы с использованием одной и той же десктопной утилиты.
SonicSpy обладает 73 вредоносными функциями. В частности ПО способно незаметно для жертвы записывать аудио и фотографировать, совершать звонки и отправлять SMS-сообщения, похищать журналы звонков, получать данные о точке доступа Wi-Fi и пр.