Malware, który przystosowane jest do ataków na użytkowników Androida, wciąż nie przestaje nas zaskakiwać. Jakiś czas temu informowałem was już na temat złośliwego kodu, który przedostał się do Google Play i tym razem przyszła pora na kolejną dawkę malware, które można było znaleźć w sklepie internetowego giganta – jak informują nas eksperci zajmujący się bezpieczeństwem w sieci z firmy Lookout, kilka dni temu odkryte zostało ponad 4000 złośliwych aplikacji z rodziny SonicSpy, z czego co najmniej trzy znalazły się w bazie Google Play. Na szczęście sytuacja została już opanowana przez Google’a.
Aplikacje z rodziny SonicSpy rozprzestrzeniały się w Internecie w różnych źródłach – można było znaleźć je m.in. w Google Play, w innych sklepach z aplikacjami, na podejrzanych stronach internetowych, a informacje na ich temat były również rozsyłane poprzez SMS-y z linkiem do pobrania programu. Pierwszą aplikacją z zaimplementowanym złośliwym kodem, którą można było znaleźć (została usunięta po interwencji Lookout) w sklepie Google’a był Soniac – komunikator, który pozwalał na wysyłanie wiadomości za pomocą niestandardowej wersji programu Telegram. W najgorszym wypadku aplikację tą mogło pobrać nawet 5000 osób – po instalacji podszywała się ona pod zwyczajny komunikator i miała dostęp do nagrywania dźwięku, wykonywania połączeń telefonicznych i ich odbierania oraz wysyłania wiadomości SMS. Oprogramowanie mogło także wysyłać na zewnętrzne serwery logi urządzenia, zgromadzone kontakty i informacje na temat sieci Wi-Fi. Jak już wcześniej wspomniałem, istniały jeszcze co najmniej dwie aplikacje, które działały na tej samej zasadzie. Aktualnie znamy nazwy dwóch z nich – były to Hulk Messenger oraz Troy Chat i również zostały one już usunięte z bazy sklepu Google Play.
Po instalacji na urządzeniu większość złośliwych aplikacji usuwała swoją ikonę z szufladki z aplikacjami po to, by użytkownik smartfona zapomniał o ich istnieniu. W tym czasie łączyła się z serwerem, który służył do wydawania komend programowi – jest to port 2222 adresu hxxp://www.arshad93.ddns[.]net (pamiętajcie, by nie zaglądać na tę stronę – to może być groźne). Po uzyskaniu połączenia malware oczekiwało na jedną z 73 dostępnych komend, których mogli użyć cyberprzestępcy. Proces ten jest identyczny dla całej rodziny SonicSpy, więc dzięki temu łatwo można rozpoznać aplikacje pochodne. Co ciekawe, malware z rodziny SonicSpy może być powiązane ze znanym już zagrożeniem o nazwie SpyNote, o której firma Palo Alto Networks informowała już w tym roku. Dodatkowo twórca aplikacji prawdopodobnie pochodzi z Iraku – świadczy o tym m.in. nazwa konta dewelopera (iraqwebservice) oraz liczne wzmianki w kodzie, które wskazują właśnie na tę część świata.
Jak chronić się przed zagrożeniami tego typu? Przede wszystkim uważajcie na aplikacje instalowane z nieznanych źródeł – jeśli wydają się wam w jakikolwiek sposób podejrzane, to lepiej odpuścić, lub uruchomić je w trybie sandbox z wydzielonym odrębnym miejscem. Co więcej, przeglądajcie uprawnienia programów, które pobieracie na swoje urządzenie – dobry deweloper aplikacji zawsze wyjaśni powód dodania ich do swojego dzieła.
Źródło: Ars Technica