بیش از هزار اپلیکیشن SonicSpy یک جاسوس افزار اندرویدی جدید را منتشر کردند

هم رسان: یک خانواده از جاسوس افزارهای اندرویدی فعال با نام SonicSpy پس از کمین در 1000 اپلیکیشن موبایلی بالاخره خود را نشان داد، نمونه‌هایی از این جاسوس افزار در گوگل پلی دیده شده است.

به گزارش پایگاه خبری هم رسان به نقل از اینفوسکیوریتی، «میشل فلوزمن» یکی از محققان امنیتی Lookout اعلام کرد SonicSpy می‌تواند با استفاده از 73 دستورالعمل از راه دور دستگاه قربانی را دستکاری کند. این دستکاری ها شامل امکان ضبط صدا، عکس گرفتن با دوربین، برقراری تماس‌های خروجی، ارسال پیام‌های متنی به شماره‌های مشخص شده توسط مهاجم و بازیابی اطلاعات از قبیل گزارش تماس‌ها، ارتباطات و اطلاعات در مورد نقاط دسترسی Wi-Fi است.
یک نمونه از جاسوس افزار SonicSpy که در این اواخر در گوگل پلی مشاهده شده Soniac نام دارد که به عنوان یک اپلیکیشن پیام رسانی معرفی شده است. در حالی که Soniac این قابلیت را از طریق یک نسخه سفارشی از برنامه ارتباطی Telegram ارائه می‌دهد، همچنین دارای قابلیت‌های مخرب است که امکان کنترل دستگاه هدف را برای مهاجم فراهم می‌آورد. فلوزمن در یک پست می‌گوید: «کاملاً مشخص است که عوامل مخرب در جاسوس افزار SonicSpy می‌خواهند اپلیکیشن به قوت خود در دستگاه قربانی باقی بماند تا مطمئن شوند قابلیت مدنظر کاربر نهایی را ارائه می‌دهند. این امر با ترکیب و اصلاح کد منبع عمومی مخصوص برنامه پیام رسان Telegram انجام می‌شود. در نتیجه قربانی قابلیت پیام رسانی مدنظر خود را دریافت می‌کند و به فعالیت مخربی که در پس زمینه در حال انجام است، مشکوک نمی‌شود.»

SonicSpy برای کارمندانی شرکتی که بر روی آب‌ها سفر می‌کنند، بسیار خطرناک است. فلوزمن در پشت جداگانه‌ای نوشت: «شرکت‌های تجاری کارمندان خود را برای برگزاری کنفرانس‌ها، جلسات و غیره بر فراز دریاها به نقاط مختلف دنیا می‌فرستند، کارمندان در حین سفر از اپلیکیشن اندرویدی برای ارتباط با همکاران و خانواده استفاده می‌کنند. اپلیکیشن هایی نظیر این با تظاهر به این که یک اپلیکشن مجاز و مورد اعتماد در بازارهای معروف هستند، کار خود را انجام می‌دهند. نمونه‌های بررسی شده نشان می‌دهد این نمونه‌ها شباهت‌های زیادی با SpyNote دارند، SpyNote خانواده دیگری از بدافزارها است که در اواسط 2016 برای اولین بار گزارش شد. در مورد SpyNote باید بگوییم مزاحم از یک اپلیکیشن دسکتاپی سفارشی برای تزریق کد مخرب استفاده می‌کند و اپلیکیشن های خاصی را تروجانی می‌کند تا قربانی بتواند همچنان با قابلیت اصلی و مجاز اپلیکیشن ارتباط برقرار کند.»

فلوزمن می‌گوید: «علائم زیادی وجود دارد که نشان می‌دهند عامل مشابهی در توسعه هر دوی این جاسوس افزارها وجود دارد. برای مثال هر دوی این جاسوس افزارها از شباهت‌های برنامه نویسی برخوردار هستند، مرتباً از سرویس‌های دی ان اس داینامیک استفاده می‌کنند و بر روی پورت غیر استاندارد 2222 اجرا می‌شوند.»
او اضافه می‌کند: «به دلیل جریان مداوم اپلیکیشن های SonicSpy به نظر می‌رسد عوامل مرتبط با این اپلیکیشن از فرایند خودکار مشابهی استفاده می‌کنند، اما در حال حاضر ابزارهای دسک تاپی آن‌ها بهبود نیافته است.»