I ricercatori della società di sicurezza Lookout hanno identificato una famiglia di applicazioni smartphone malevoli, denominate SonicSpy, che comprende più di mille app spyware. Almeno tre versioni del malware, che permettono il controllo da remoto dei telefoni infetti, sono state trovate all’interno del Google Play Store.
Lookout ha detto nel suo blog di aver scoperto questa minaccia dopo che il team di analisi della Lookout Security Cloud ha identificato funzionalità spyware in diverse app testate. Secondo i ricercatori, queste app sono state sfruttate in modo aggressivo a partire dal mese di febbraio dell 2017. Google sembra esserne a conoscenza, dal momento che risulta che la società ha rimosso almeno una delle app dopo che Lookout ha avvisato l’azienda.
Il campione di SonicSpy più recentemente trovato nel Play Store, denominato Soniac, viene spacciato come applicazione di messaggistica. Mentre Soniac fornisce le funzionalità di un’app di messaggistica istantanea attraverso una versione personalizzata di Telegram, contiene anche funzionalità dannose che forniscono ad un malintenzionato un controllo "significativo" su un dispositivo infetto, tra cui la possibilità di registrare audio dal microfono, scattare foto con la fotocamera, effettuare chiamate in uscita, inviare messaggi di testo a numeri specificati dall’attaccante e recuperare informazioni come i registri delle chiamate, i contatti e le informazioni dei punti di accesso Wi-Fi.
Dopo la prima esecuzione dell’app infetta, una volta installata, SonicSpy rimuove l’icona identificativa per nascondersi dalla vittima, quindi stabilisce una connessione con una infrastruttura esterna e prova ad installare la propria versione personalizzata di Telegram.
La famiglia globale di app SonicSpy risulta supportare 73 diverse istruzioni remote, incluse quelle trovate in Soniac.
Dai test effettuati, i ricercatori hanno trovato molte somiglianze con SpyNote, un’altra famiglia di malware che è stata segnalata a metà del 2016. Addirittura, secondo Lookout, dietro lo sviluppo delle due famiglie di app malevoli ci sono gli stessi malintenzionati, poichè entrambe condividono somiglianze nei codici, utilizzano regolarmente i servizi DNS dinamici e vengono eseguite su una specifica porta non standard.
In una email inviata ad Ars Technica, il ricercatore di Lookout, Michael Flossman, ha dichiarato che le applicazioni potrebbero anche essere distribuite tramite messaggi di phishing con link che invitano al download o tramite store di applicazioni di terze parti non di Google.
Chi sta dietro lo sviluppo della famiglia SonicSpy ha dimostrato di "essere in grado di diffondere spyware tramite il negozio di applicazioni ufficiali [Play Store] e, mentre è attivamente in fase di sviluppo, è probabile che SonicSpy riprenderà in futuro" avvisa Flossman.
I consigli per evitare di installare applicazioni sul proprio smartphone che potrebbero essere malevoli e contenere spyware sono sempre le solite: evitare di installare applicazioni che non provengono da store ufficiali (come il Google Play Store) e comunque verificare sempre se un’app è già stata installata da altri utenti e leggere eventuali recensioni – non fidarsi delle app che hanno una descrizione ‘strana’, hanno una valutazione bassa o poche recensioni; controllare anche l’affidabilità dello sviluppatore dell’app che si vuole scaricare, verificando se per caso ha altre applicazioni inserite nello store con una reputazione positiva.
