Тысячи Android-приложений заражены шпионом SonicSpy

Практически каждый пользователь операционной системы Android уверен в безопасности приложений на официальной площадке для их установки - Google Play. Конечно, всегда есть те, кто относится ко всему настороженно, однако согласитесь, что в «маркете» в 99% устанавливаешь проверенное модераторами на вирусы ПО и игры. Даже так, всё равно найдётся тот, кто решит распространять шпионские программы через Google-площадку.

Немногие решаются на подобный способ распространения вирусных программ, но, если им удастся проникнуть на Google Play и получить одобрение, жди беды. Сторонние специалисты по безопасности компании LookOut за прошедшие полгода выявили больше тысячи вредоносных приложений, часть которых действовала на популярной площадке. Такие программы относят к семейству SonicSpy, которое имеет в своём арсенале около 73 функции удалённого воздействия.

Реализована шпионская программа в приложениях разного назначение, одно из которых является мессенджером и имеет название Soniac. Перед тем, как поступило обращение в Google на его удаление, уже от одной до пяти тысяч человек успело загрузить его на свой девайс. Soniac мог без ведома пользователя записывать звук, делать фотографии, отправлять сообщения и звонить на чей-нибудь номер. Он это делал, основываясь на полученные привилегии в виде открытого доступа к контактам, точке доступа Wi-Fi и прочим разрешениям.

Помимо данного мессенджера были обнаружены ещё приложения, которые имели схожий алгоритм работы, но уже удалены из платформы. Они также прикрывались в виде сервиса по переписке, и назывались как Hulk Messenger и Troy Chat. Остальные распространялись на сторонних сайтах.

Было в поведении приложений нечто схожее, что в будущем поможет определить вирус. К примеру, сразу после установки они скрывали свои первоначальные значки и скачивали со своего сервера модифицированный Telegram в системный каталог res/raw, меняя название программы на su.apk. Когда происходят подобные манипуляции, пользователю нужно тут же насторожиться.

Как утверждают специалисты LookOut, новое семейство SonicSpy имеет общие черты с прошлогодними шпионами, которые получили название SpyNote. Имя учётной записи подсказывает, что разработчики вредоносных программ являются жителями Ирака, или, по крайней мере, находятся на этой местности.

Данный отчёт деятельности шпионов в очередной раз доказывает, что нужно настороженно относиться к малоизвестным приложениям, которые требуют подобные разрешения для своей работы, даже если они находятся на доверенной площадке Google Play.