Шпион SonicSpy обнаружен в тысячах Android-приложений в Google Play

Олег Иванов 12 Августа 2017 - 15:12

...

Шпион SonicSpy обнаружен в тысячах Android-приложений в Google Play

В течение последних шести месяцев исследователи безопасности обнаружили тысячи приложений, оснащенных шпионскими модулями, в том числе некоторые из них распространяются через Google Play.

Эти приложения являются частью семейства вредоносных программ SonicSpy, они распространялись с февраля 2017 года. Как полагают эксперты Lookout, за их распространение ответственны хакеры из Ирака.

Один образец, найденный в Google Play, назывался Soniac и представлял собой приложение для обмена сообщениями. По словам Lookout, несмотря на то, что приложение действительно предоставляет заявленные возможности за счет использования настраиваемой версии приложения Telegram, оно также включает вредоносные компоненты.

После установки этого приложения на устройство, ее автору предоставляется «значительный контроль» над ним. Общее семейство вредоносных программ SonicSpy включает в себя поддержку 73 различных удаленных инструкций, но только некоторые из них реализованы конкретно в приложении Soniac.

Среди них исследователи отмечают возможность скрытно записывать звук, делать фотографии и совершать исходящие звонки. Кроме того, вредонос также может отправлять текстовые сообщения на занесенные пользователем номера и может получать информацию, такую как журналы вызовов, контакты и информацию о точках доступа Wi-Fi.

После запуска SonicSpy удаляет свой значок, чтобы скрыть себя, затем пытается установить соединение с командным центром (C&C), адресом которого является arshad93.ddns[.]net. Вредоносная программа также пытается установить собственную версию Telegram, которая сохраняется в каталоге res/raw под именем su.apk.

Анализируя обнаруженные образцы, исследователи безопасности нашли сходство со SpyNote, семейством вредоносных программ, подробно описанным в середине 2016 года. Основываясь на многочисленных показателях, исследователи предполагают, что одни и те же хакеры стоят за развитием этих вредоносных программ.

Согласно Lookout, как SonicSpy, так и SpyNote используют общие черты - динамические службы DNS, а также работают через нестандартный порт 2222.

По словам экспертов, киберпреступники, стоящие за SpyNote внедряют вредоносный код в легитимное приложение, таким образом, у пользователей есть возможность взаимодействовать с его совершенно законными функциями.

Также исследователи Lookout отмечают, что учетная запись Play Store (iraqwebservice), связанная с Soniac, также была замечена в размещении образцов SonicSpy. Программы с вредоносными функциями имели следующие имена в официальном магазине приложений: Hulk Messenger и Troy Chat.

" />

Следующая главная новость »

Динамическая ИТ-инфраструктура 2026: как не потерять контроль? Регистрируйтесь на эфир!

Татьяна Никитина 26 Февраля 2026 - 16:40

Windows Трояны Целевые атаки Таргетированные атаки Корпорации Лаборатория Касперского

Вредоносные рассылки Librarian Likho в России стали массовыми

Эксперты «Лаборатории Касперского» предупреждают корпоративных пользователей о новой вредоносной кампании с использованием имейл. Поддельные сообщения имитируют деловую переписку и снабжены вложением с именем под стать.

С начала ноября 2025 года злоумышленники отправили более 1 тыс. однотипных писем-ловушек, что может говорить об автоматизации рассылок. Разбор текущих атак выявил почерк Librarian Likho, криминальной группировки, действующей в России и странах СНГ уже несколько лет.

Исследователи также обнаружили, что набор вредоносных инструментов, заточенных под Windows, с лета мало изменился. Из новшеств замечены изменение схемы поиска C2 (ранее URL был вшит в код, а теперь динамически меняется), более умелый обход штатных средств защиты и исчезновение механизма поиска / кражи документов с целью шпионажа.

Распространяемые злоумышленниками фейковые письма, как и ранее, оформлены как предложение о сотрудничестве, запрос на предоставление информации либо отчет о платежах. Расширения прикрепленных файлов (.com) отправители на сей раз даже не пытаются замаскировать в расчете на неискушенность или невнимательность получателей.

Во вложении скрывается инсталлятор, который после запуска выгружает в папку временных файлов два архива формата .cab — 2.tmp и temp_0.tmp. После их распаковки (в одну и ту же директорию) жертве отображается документ-приманка и происходит запуск уже знакомого экспертам скрипта-загрузчика find.cmd.

Как оказалось, этот старый знакомый все же изменился — обрел возможность парсинга C2. В ходе выполнения вредоносный сценарий создает виртуальное окружение и переменные под адреса, которые он получает из файла url.txt и по очереди пускает в ход.

Отдаваемый C2 набор инструментов по-прежнему скачивается в виде запароленных архивов, выдаваемых за картинки (pas.jpg и bk.jpg). Для распаковки в систему с того же сервера загружается кастомная версия WinRAR — driver.exe.

Содержимое архивных файлов оседает в папке AppData\Roaming:

blat.exe помогает выводить данные через SMTP;
AnyDesk.exe обеспечивает удаленное управление хостом;
Trays.exe скрывает окна запущенных процессов;
dc.exe отключает Microsoft Defender;
wbpv.exe используется для получения паролей, сохраненных в браузерах;
mlpv.exe извлекает пароли их почтовых клиентов;
bat.bat используется для эксфильтрации паролей и обхода средств защиты данных.

Атаки, против обыкновения, проводятся не точечно, а ковровым способом; вредоносное послание может получить компания любого профиля. Эксперты зафиксировали инциденты в госсекторе, строительстве и промышленности.

Динамическая ИТ-инфраструктура 2026: как не потерять контроль? Регистрируйтесь на эфир!