Securityspecialist Lookout heeft ruim duizend spyware-apps ontdekt. Het gaat om spyware die verstopt zit in onofficiële versies van apps als WhatsApp, Netflix en Pokémon Go. De beveiliger rekent die apps tot de SonicSpy-familie. De besmette apps zijn aangetroffen in de Google Play Store. Na een melding aan Google zijn die inmiddels verwijderd. Maar de spyware van vermoedelijk Iraakse komaf wordt ook buiten reguliere appstores om verspreid.
Lookout: ‘SonicSpy-spyware wordt sinds februari 2017 op veel plekken aangetroffen: in vierduizend onofficiële versies van apps als WhatsApp, Netflix en Pokémon Go buiten de reguliere app stores en drie in de Google Play Store.’
Het voorbeeld van SonicSpy dat recent in de PlayStore werd aangetroffen is Soniac. Het wordt aangeboden als messaging app. De beveiliger: ‘Wanneer SonicSpy voor de eerste keer wordt opgestart, verbergt de spyware zijn app-icoon, legt deze een verbinding met de C2-infrastructuur en installeert deze zijn eigen aangepaste versie van Telegram.’
Volgens het beveiligingsbedrijf bevat Soniac functionaliteiten die een aanvaller vervolgens controle biedt over het apparaat waarop de app wordt geïnstalleerd. Zo kan de app stiekem audio opnemen, foto’s maken, uitgaande telefoongesprekken beginnen, sms’jes naar specifieke nummers sturen en informatie als telefoonlogs, contactgegevens en informatie over wifi-access points opvragen.
Overeenkomst met SpyNote
De geanalyseerde samples vertonen veel overeenkomsten met SpyNote. Dat is een andere malware-familie die voor het eerst medio 2016 werd aangetroffen. Lookout: ‘Alles wijst erop dat beide soorten door dezelfde partij zijn ontwikkeld. In het geval van SpyNote maakten aanvallers gebruik van een op maat gemaakte desktopapplicatie, waarmee code in specifieke apps werd ‘geïnjecteerd’. Daardoor bleven slachtoffers de legitieme functionaliteit van de app nietsvermoedend gebruiken.’
Door de grote stroom aan SonicSpy-apps is het waarschijnlijk dat de apps automatisch gebouwd worden, al zijn de desktop-tools op moment van schrijven nog niet gevonden.
SonicSpy
Het account achter Soniac: iraqwebservice, meldde volgens de beveiliger eerder al SonicSpy-samples aan bij de Play Store, maar die zijn niet meer terug te vinden. Het is volgens Lookout niet zeker of deze verwijderd zijn door Google, of dat de auteur ze verwijderde om niet ontdekt te worden.
Uit onderzoek van opgeslagen Play Store-pagina’s van Hulk Messenger en Troy Chat blijkt dat deze apps over dezelfde functionaliteit als SonicSpy-samples beschikten. Michael Flossmann, hoofd security research services bij Lookout: ‘Iedereen die gevoelige informatie op zijn mobiele devices heeft staan of deze daarop benadert, moet bedacht zijn op SonicSpy. De criminelen die erachter zitten hebben laten zien dat ze hun spyware in officiële app stores kunnen krijgen. Maar ook gebruik van de duizenden apps daarbuiten, die door mensen worden gedownload, bijvoorbeeld omdat ze hun telefoon hebben geroot en geen toegang meer hebben tot officiële app stores, zijn niet zonder gevaar.’
Volgens de securityspecialist wordt de spyware nog steeds automatisch gebouwd en is de kans groot dat SonicSpy opnieuw zal opduiken.