Исследователи компании Lookout нашли в магазине Google Play и альтернативных каталогах программ для Android шпионское приложение SonicSpy. Предполагается, что авторство вредоносного приложения принадлежит иракцу, который в 2016 создал троянскую программу удаленного доступа SpyNote.
Специалисты Lookout отыскали в Google Play 3 приложения, которые содержат SonicSpy. Всех их замаскировали под самостоятельные мессенджеры — Troy Chat, Soniac и Hulk Messenger. Разработчик взял за основу Telegram, который переименовал, изменил и добавил шпионский инструментарий. Так как они обладают функционалом мессенджера, заподозрить подноготную тяжело. Сразу после запуска программа удаляет иконку и устанавливает связь с сервером управления.
Исследователи установили, что SonicSpy умеет выполнять 73 шпионские команды. Программа дает злоумышленнику доступ к журналу вызовов и данным о Wi-Fi сетях. Кроме того, она тайно записывает аудио и фотографирует, отправляет SMS и совершает исходящие звонки, пишет xakep.ru.
В Lookout считают, что программу-шпиона создал разработчик SpyNote, троянской программы удаленного доступа для Android. Они пришли к такому выводу, потому что, как и в случае с SpyNote, за основу SonicSpy были взяты легитимные приложения, а также использовался динамический DNS и нестандартный порт 2222. Шпиона уже удалили из Google Play, однако тысячи копий программы успели распространиться в неофициальных каталогах.
