Kolejne malware znalezione w Google Play – tym razem mogło nagrywać dźwięk

mm Michał Derej Artykuły 2017-08-13

Malware, który przystosowane jest do ataków na użytkowników Androida, wciąż nie przestaje nas zaskakiwać. Jakiś czas temu informowałem was już na temat złośliwego kodu, który przedostał się do Google Play i tym razem przyszła pora na kolejną dawkę malware, które można było znaleźć w sklepie internetowego giganta – jak informują nas eksperci zajmujący się bezpieczeństwem w sieci z firmy Lookout, kilka dni temu odkryte zostało ponad 4000 złośliwych aplikacji z rodziny SonicSpy, z czego co najmniej trzy znalazły się w bazie Google Play. Na szczęście sytuacja została już opanowana przez Google’a.

Aplikacje z rodziny SonicSpy rozprzestrzeniały się w Internecie w różnych źródłach – można było znaleźć je m.in. w Google Play, w innych sklepach z aplikacjami, na podejrzanych stronach internetowych, a informacje na ich temat były również rozsyłane poprzez SMS-y z linkiem do pobrania programu. Pierwszą aplikacją z zaimplementowanym złośliwym kodem, którą można było znaleźć (została usunięta po interwencji Lookout) w sklepie Google’a był Soniac – komunikator, który pozwalał na wysyłanie wiadomości za pomocą niestandardowej wersji programu Telegram. W najgorszym wypadku aplikację tą mogło pobrać nawet 5000 osób – po instalacji podszywała się ona pod zwyczajny komunikator i miała dostęp do nagrywania dźwięku, wykonywania połączeń telefonicznych i ich odbierania oraz wysyłania wiadomości SMS. Oprogramowanie mogło także wysyłać na zewnętrzne serwery logi urządzenia, zgromadzone kontakty i informacje na temat sieci Wi-Fi. Jak już wcześniej wspomniałem, istniały jeszcze co najmniej dwie aplikacje, które działały na tej samej zasadzie. Aktualnie znamy nazwy dwóch z nich – były to Hulk Messenger oraz Troy Chat i również zostały one już usunięte z bazy sklepu Google Play.

Po instalacji na urządzeniu większość złośliwych aplikacji usuwała swoją ikonę z szufladki z aplikacjami po to, by użytkownik smartfona zapomniał o ich istnieniu. W tym czasie łączyła się z serwerem, który służył do wydawania komend programowi – jest to port 2222 adresu hxxp://www.arshad93.ddns[.]net (pamiętajcie, by nie zaglądać na tę stronę – to może być groźne). Po uzyskaniu połączenia malware oczekiwało na jedną z 73 dostępnych komend, których mogli użyć cyberprzestępcy. Proces ten jest identyczny dla całej rodziny SonicSpy, więc dzięki temu łatwo można rozpoznać aplikacje pochodne. Co ciekawe, malware z rodziny SonicSpy może być powiązane ze znanym już zagrożeniem o nazwie SpyNote, o której firma Palo Alto Networks informowała już w tym roku. Dodatkowo twórca aplikacji prawdopodobnie pochodzi z Iraku – świadczy o tym m.in. nazwa konta dewelopera (iraqwebservice) oraz liczne wzmianki w kodzie, które wskazują właśnie na tę część świata.

Jak chronić się przed zagrożeniami tego typu? Przede wszystkim uważajcie na aplikacje instalowane z nieznanych źródeł – jeśli wydają się wam w jakikolwiek sposób podejrzane, to lepiej odpuścić, lub uruchomić je w trybie sandbox z wydzielonym odrębnym miejscem. Co więcej, przeglądajcie uprawnienia programów, które pobieracie na swoje urządzenie – dobry deweloper aplikacji zawsze wyjaśni powód dodania ich do swojego dzieła.

Źródło: Ars Technica



  • Linkyop

    Play Protect pomoże. 😉

  • cherrz

    Przyszedłem poczytać komentarze owieczek.

  • Paweł Piotrowski

    Czekam na artykuł „Kolejne malware znalezione w AppStore ”
    Bul dupy androidowcow za 3..2..1

    • stark2991

      Myślisz że ktoś się złapie na ten słaby trolling?

      • Paweł Piotrowski

        Myśle ze już się złapał 😉

    • Michał Derej

      Ten artykuł jest po prostu informacją i ostrzeżeniem, a nie jakimś zarzutem wobec Androida. Niestety się nie doczekasz.