研究人员近期在 Google Play 商店发现一款新型恶意软件 SonicSpy,不仅可以窃取用户通话记录、音频图像,还可以监控用户日志调用、联系方式与 Wi-Fi 接入站点等信息。总而言之,SonicSpy 允许攻击者远程执行 73 种不同命令。此外,该恶意软件还被怀疑是伊拉克开发人员的研究成果。
调查显示,恶意软件 SonicSpy 主要作为消息应用程序出售,以避免用户在下载时产生任何疑惑,在感染用户设备后能够自动窃取数据并将其传输至命令与控制服务器。目前,研究人员在 Google Play 商店中发现三种不同版本的 SonicSpy(称为 soniac、hulk messenger 与 troy chat),其每个版本都可作为一种监控信息应用程序。虽然 Google 在检测后已删除上述恶意程序,但在第三方应用程序市场中可能仍存在其他版本。据悉,soniac 在 Google 移除时已被下载 1,000 至 5,000 次。
研究人员在分析 SonicSpy 样本后发现,它与间谍软件 Spyote 存在相似之处。SonicSpy 与 Spynote 不仅共享同一代码,还都使用动态 DNS 服务且运行在非标准的 2222 端口。对此,研究人员猜测上述两款恶意软件可能由相同的开发人员研发。
研究人员 Michael Flossman 表示,恶意软件幕后黑手利用加密通信应用程序也显示了他们对收集敏感信息的强烈兴趣。虽然 SonicSpy 目前已从 Google Play 商店中移除,但它极有可能还会再次进入。为防止用户设备遭受感染,研究人员建议用户在安装任何应用程序前(即使从 Google Play 商店下载)始终验证应用权限并仅授予应用程序必要权限。
*转自 HackerNews.cc http://hackernews.cc/archives/13371
北京鼎源科技有限公司(www.devsource.com.cn)是国内领先的移动信息安全公司,专注于移动应用安全领域,为各级党政监管单位、企业和开发者提供移动应用安全咨询、APP安全检测、APP安全加固、APP威胁感知、安全服务和“端-管-云”一体化网络安全整体解决方案。
