Хакеры выложили в Google Play мессенджеры, следящие за телефоном пользователя

Ученые компании Lookout выявили несколько приложений-шпионов, распространяемых через Google Play. Профессионалы считают, что это шпионское ПО создал тот же иракский разработчик, что в прошлом 2016-ом написал малварь SpyNote. Среди его программ фигурируют мессенджеры Soniac, Hulk Messenger и Troy Chat. До того как их удалили, все они были загружены 1000-5000 раз. Разработчиков приложений связывают с Ираком.

После установки и первого запуска малварь устраняет свою иконку, чтобы утаить свое присутствие от жертвы, и связывается с управляющим сервером (arshad93.ddns [.] net:2222). Он мог активировать камеру, микрофон, получать доступ к телефонной книжке, истории вызовов, SMS и мог звонить либо посылать сообщения на всевозможные номера.

Ученые считают, что малварь SonicSpy создал тот же человек, которые до этого написал Android-вредоноса SpyNote. У них есть общий код, они используют динамические DNS и своеобразный порт 2222.

По мнению профессионалов, создатель вируса модифицировал официальное приложение Telegram. внедрив в него вредный код, провел ребрендинг и обнародовал программу в Google Play Store. По утверждению Макла Флоссмана, исследователя Lookout, на данный момент вредные мессенджеры могут распространяться через фишинговые рассылки, в которых находится ссылка на скачивание файла, либо же через неофициальные магазины приложений.