Dentre as aplicações manipuladas algumas são distribuídas na Google Play
Pesquisadores de segurança encontraram mais de mil aplicações manipuladas com spyware nos últimos seis meses, incluindo algumas distribuídas via Google Play.
As aplicações fazem parte da família de malware SonicSpy e foram implantadas agressivamente desde fevereiro de 2017 por um ator ameaçador provavelmente baseado no Iraque, dizem pesquisadores de segurança Lookout. O Google foi informado sobre a atividade maliciosa e removeu pelo menos um dos aplicativos ofensivos do Google Play.
Uma amostra encontrada no Google Play foi chamada de Soniac e estava posando como uma aplicação de mensagens. Apesar de não fornecer a funcionalidade anunciada, aproveitando uma versão personalizada do aplicativo de mensagens Telegram, o software também inclui componentes maliciosos, Lookout diz .
Uma vez que o programa malicioso foi instalado em um dispositivo, seu autor é fornecido com "controle significativo" sobre esse dispositivo. A família de malware global da SonicSpy inclui suporte para 73 instruções remotas diferentes, mas apenas algumas são encontradas no Soniac.
Entre estes, os pesquisadores de segurança mencionam a capacidade de gravar em silêncio áudio, uma opção para tirar fotos com a câmera e a capacidade de fazer chamadas de saída. Além disso, o malware pode enviar mensagens de texto para números especificados pelo invasor e pode recuperar informações como registros de chamadas, contatos e informações sobre pontos de acesso Wi-Fi.
Quando executado, a SonicSpy remove o ícone do seu iniciador para se esconder da vítima, e tenta estabelecer uma conexão com a infraestrutura de comando e controle (C & C) (no arshad93.ddns [.] Net ). O malware também tenta instalar sua própria versão personalizada do Telegram, que armazenou no diretório res / raw sob o nome su.apk.
Ao analisar as amostras descobertas, os pesquisadores de segurança encontraram semelhanças com o SpyNote , uma família de malware detalhada pela primeira vez em meados de 2016. Com base em inúmeros indicadores, os pesquisadores sugerem que o mesmo ator está por trás do desenvolvimento de ambas as famílias de malwares.
De acordo com a Lookout, tanto SonicSpy quanto SpyNote compartilham as semelhanças do código e ambos usam serviços DNS dinâmicos, além de serem executados na porta 2222 não padrão.
O invasor do SpyNote, segundo os pesquisadores, estava usando software de desktop personalizado para injetar código malicioso nos aplicativos Trojanized, permitindo que a vítima continuasse interagindo com suas legítimas funcionalidades. O fluxo de aplicativos observados da SonicSpy sugere que os atores por trás estão usando um processo de construção automatizado semelhante, mas os pesquisadores não recuperaram suas ferramentas de desktop até agora.
Lookout também observa que a conta atrás de Soniac, iraquês , já postou duas outras amostras da SonicSpy para a Play Store, mas essas já não estão vivas. Chamados de Hulk Messenger e Troy Chat, os aplicativos continham algumas funcionalidades como outras amostras do SonicSpy, mas não está claro se o Google os removeu ou o ator por trás deles decidiu removê-los para evitar a detecção.
"Qualquer pessoa que acesse informações confidenciais em seu dispositivo móvel deve se preocupar com SonicSpy. Os atores por trás dessa família mostraram que eles são capazes de obter seu spyware na loja oficial de aplicativos e, como está sendo desenvolvido ativamente, e seu processo de compilação é automatizado, é provável que a SonicSpy volte a aparecer no futuro ", os pesquisadores de segurança concluem.
Fonte
Até a próxima!!
Nenhum comentário:
Postar um comentário