В приложениях Google Play обнаружена шпионская программа SonicSpy. За последние полгода число подобных программ превысило несколько тысяч. Распространение зараженного ПО стартовало в феврале 2017 года.
По мнению экспертов Lookout, распространением вирусных приложений занимаются хакеры из Ирака. Суммарно семейство SonicSpy включает порядка 73 удаленных инструкций, однако отдельные из них реализованы в разных приложениях. В частности, зараженные версии ПО для обмена сообщениями позволяют тайно записывать звук, делать фотоснимки и делать исходящие вызовы. Вдобавок, вирус может передавать текстовые послания на номера в телефонной книге устройства, собирать статистику вызовов, контакты и сведения о Wi-Fi.
После пуска SonicSpy ликвидирует свой значок для сокрытия, после чего пытается соединиться со своим командным центром. Вирус пытается установить свою версию Telegram, сохраняемую в каталоге под титулом su.apk. Анализируя выявленные образцы, исследователи обнаружили схожесть с SpyNote.
Основываясь на большом количестве показателей, исследователи сделали предположение о том, что новинка создавалась теми же, кто разрабатывал предыдущий вирус. В соответствии с данными Lookout, SonicSpy и SpyNote отличаются общими чертами. В соответствии со словами экспертов, киберпреступники, которые стоят за SpyNote, вводят вредоносный код в легитимное ПО, а у пользователей имеется возможность взаимодействовать с полностью законными функциями.
По мнению экспертов Lookout, распространением вирусных приложений занимаются хакеры из Ирака. Суммарно семейство SonicSpy включает порядка 73 удаленных инструкций, однако отдельные из них реализованы в разных приложениях. В частности, зараженные версии ПО для обмена сообщениями позволяют тайно записывать звук, делать фотоснимки и делать исходящие вызовы. Вдобавок, вирус может передавать текстовые послания на номера в телефонной книге устройства, собирать статистику вызовов, контакты и сведения о Wi-Fi.
После пуска SonicSpy ликвидирует свой значок для сокрытия, после чего пытается соединиться со своим командным центром. Вирус пытается установить свою версию Telegram, сохраняемую в каталоге под титулом su.apk. Анализируя выявленные образцы, исследователи обнаружили схожесть с SpyNote.
Основываясь на большом количестве показателей, исследователи сделали предположение о том, что новинка создавалась теми же, кто разрабатывал предыдущий вирус. В соответствии с данными Lookout, SonicSpy и SpyNote отличаются общими чертами. В соответствии со словами экспертов, киберпреступники, которые стоят за SpyNote, вводят вредоносный код в легитимное ПО, а у пользователей имеется возможность взаимодействовать с полностью законными функциями.
