2min

Beveiligingsonderzoekers hebben een type malware gevonden dat sinds februari gebruikers van Android teistert. In totaal gaat het om meer dan 4000 spyware apps, waarbij er drie in staat waren om de Google Play Store binnen te dringen. De malware, ook wel SonicSpy genoemd, luisterde onder meer mee op geïnfecteerde toestellen.

De onderzoekers die de malware ontdekten zijn van beveiligingsbedrijf Lookout. Zij schrijven over hun bevindingen in een blogpost. Daaruit blijkt dat één van de applicaties die in de Google Play Store terechtkwam Soniac is. Deze app werd 1000 tot 5000 keer gedownload, waarna Google hem uit de Play Store verwijderde. Soniac is vergelijkbare met de chat-app Telegram. Op de achtergrond kon Soniac onder meer audio opnemen, bellen, sms’jes versturen en informatie bemachtigen zoals contacten en wifi-verbindingspunten. Lookout lichtte Google in over de app, waarna de techgigant hem uit de Play Store haalde.

De twee andere apps, met de namen Hulk Messenger en Troy Chat, waren eveneens in de Play Store aanwezig. Ook zij werden uiteindelijk verwijderd, al is het onduidelijk hoe dat gebeurde. Wellicht dat de ontwikkelaar dat zelf deed of dat Google hiervoor verantwoordelijk is. De andere apps zijn op een andere manier bij gebruikers terechtgekomen. Een Lookout-onderzoeker noemt als mogelijke distributiekanalen alternatieve markten of gerichte sms’jes met download links.

Afkomst

Zodra SonicSpy geïnstalleerde is, gaat het icoontje van de app weg. Zo is het voor gebruikers moeilijk te zien dat SonicSpy op de achtergrond loopt. De malware realiseert een verbinding met de controleservers op poort 2222 of arshad93.ddns[.]net. De account die achter Soniac zit is iraqwebservice, wat mogelijk verwijst naar een afkomst uit Irak. Volgens de onderzoekers komt SonicSpy overeen met een andere malafide app-familie, genaamd SpyNote. Er wordt gedacht dat beide malwares afkomstig zijn van de zelfde makers.

De bevindingen van Lookout tonen aan dat het downloaden van apps via derde partijen een groot risico is. Tegelijkertijd blijkt ook de Play Store niet helemaal veilig te zijn, al is het dit keer bij een relatief klein aantal slachtoffers gebleven.