นักวิจัยจาก Lookout ค้นพบแอป spyware ตระกูล SonicSpy นับหลายพันแอปใน Play Store คาดแอบเก็บข้อมูงผู้ใช้ส่งกลับไปให้นักพัฒนาในอิรัก
SonicSpy
สปายแวร์ที่พบนั้นจะอยู่ในตระกูลของ “SonicSpy” ที่ค้นพบครั้งแรกตั้งแต่เดือนกุมภาพันธ์ปีนี้ ซึ่งตอนนี้ก็ได้พาตัวเองมาอยู่ใน Google Play Store เรียบร้อยแล้ว การค้นพบครั้งนี้เกิดจาก Lookout Security Cloud ได้ทำการวิเคราะห์เจอแอปที่น่าสงสัย พร้อมปักธงให้ทีมนักวิจัยตรวจสอบด้วยตัวเองอีกครั้งนึง
หนึ่งในแอปที่เจอนั้นมีชื่อว่า Soniac, ซึ่งเป็นแอปแชท เมื่อตรวจสอบลงลึกก็พบว่าแอปนี้นำแอป Telegram มาดัดแปลงให้เป็นแอปของตัวเอง จากนั้นก็ใส่ความสามารถของมัลแวร์ลงไปเพื่อให้แฮคเกอร์สามารถควบคุมเครื่องของคนที่โหลดแอปนี้ไปติดตั้ง เช่น แอบบันทึกเสียงโดยที่เราไม่รู้ตัว, สั่งให้กล้องแอบถ่ายรูป, สั่งให้โทรออก, ส่งข้อความไปยังเบอร์ที่ต้องการได้ รวมถึงแอบส่งข้อมูลอย่างการโทร, รายชื่อติดต่อและ Wi-Fi access points ซึ่งโดยรวมๆแล้วมันสามารถทำงานได้มากถึง 73 ไม่ซ้ำกัน
เมื่อเราติดตั้งแอปที่มีมัลแวร์ลงในเครื่อง มันจะทำการซ่อนไอคอนของตัวเองไม่ให้มองเห็น จากนั้นก็จะทำการเชื่อมต่อกับเซิร์ฟเวอร์ C2 เพื่อติดตั้งแอปแชท Telegram ที่ถูกดัดแปลงมาลงเครื่อง นักวิจัยพบว่าองค์ประกอบหลักๆของมัลแวร์ตัวนี้เชื่อมโยงกับ SpyNote สปายแวร์ที่ค้นพบเมื่อปี 2016 ซึ่งเป็นไปได้ว่าคนสร้างอาจจะเป็นคนๆเดียวกัน แต่ที่เหนือกว่าก็คือตัวใหม่นี้สามารถฝ่าระบบคัดกรองของกูเกิลใน Play Store เข้าไปได้
ทาง Lookout ได้รายงานข้อมูลเหล่านี้ให้กับ Google รับทราบเป็นที่เรียบร้อยแล้ว ซึ่งแอปที่มีปัยหาส่วนนึงก็ได้ถูกถอดออกไปเป็นที่เรียบร้อยแล้ว
VIA Lookout
