Експерти компанії Lookout виявили в Google Play Store як мінімум три додатки, що містять складне шпигунське ПЗ іракського походження. За словами дослідників, розробник модифікував версію офіційного додатку Telegram, впровадив шкідливий код, здійснив ребрендинг та опублікував її в Google Play Store, передають Патріоти України з посиланням на Нескучные новости.

Зловмисник завантажив шкідливий в магазин додатків під трьома різними назвами - Soniac, Hulk Messenger та Troy Chat. На момент виявлення загрози в Google Play Store було представлено лише додаток Soniac, інші були вже видалені, по всій видимості, самим розробником. Програма оснащена функціоналом повноцінного месенджера, тому не викликає ніяких підозр.

Эксперты Lookout обнаружили более тысячи вариантов данного шпионского инструмента, получившего название SonicSpy. По мнению исследователей, вредонос является новой версией более старого шпионского ПО для Android, известного как SpyNote. Скорее всего, оба вредоносные семейства созданы одним и тем же разработчиком, о чем свидетельствуют несколько фактов. Во-первых, обе программы используют сервисы динамических DNS, запущенных на нестандартном порту 2222. Во-вторых, они обе были декомпилированы, в них был внедрен вредоносный код, а затем перекомпилированы с использованием одной и той же десктопной утилиты.

SonicSpy володіє 73 шкідливими функціями. Зокрема ПО здатне непомітно для жертви записувати аудіо та фотографувати, здійснювати дзвінки та відправляти SMS-повідомлення, викрадати журнали дзвінків, отримувати дані про точку доступу Wi-Fi та ін.