Lookout ontdekt duizenden SonicSpy-spyware apps

Onderzoekers van Lookout hebben meer dan duizend spyware apps ontdekt die horen tot de family ‘SonicSpy’ en vermoedelijk hun oorsprong kennen in Irak. SonicSpy-spyware wordt sinds februari van dit jaar op veel plekken aangetroffen: in vierduizend onofficiële versies van apps als WhatsApp, Netflix en Pokémon Go buiten de reguliere app stores, en drie in de Google Play Store. Die dreiging kon worden vastgesteld doordat Lookout Security Cloud spyware-functionaliteit in een app ontdekte en deze bij het onderzoeksteam aanbood voor nader onderzoek. Nadat Lookout Google op de hoogte had gebracht van de spyware, werd tenminste een van de geïnfecteerde apps verwijderd.

Wat SonicSpy kan

Het voorbeeld van SonicSpy dat recent in de PlayStore werd aangetroffen, Soniac, wordt aangeboden als messaging app. Wanneer SonicSpy voor de eerste keer wordt opgestart, verbergt de spyware zijn app-icoon, legt deze een verbinding met de C2-infrastructuur en installeert deze zijn eigen aangepaste versie van Telegram. Soniac bevat functionaliteit die een aanvaller vervolgens controle biedt over het apparaat waarop de app wordt geïnstalleerd. Zo kan de app stiekem audio opnemen, foto’s maken, uitgaande telefoongesprekken beginnen, sms’jes naar specifieke nummers sturen en informatie als telefoonlogs, contactgegevens en informatie over wifi-access points opvragen. De SonicSpy-familie stelt hackers in staat tot in totaal 73 verschillende manieren van privacy-schending.

soniac-615x284

Overeenkomsten met SpyNote

De geanalyseerde samples vertonen veel overeenkomsten met SpyNote, een andere malware-familie die voor het eerst in midden 2016 werd aangetroffen. Alles wijst erop dat beide soorten door dezelfde partij zijn ontwikkeld. In het geval van SpyNote maakten aanvallers gebruik van een op maat gemaakte desktopapplicatie, waarmee code in specifieke apps werd ‘geïnjecteerd’. Daardoor bleven slachtoffers de legitieme functionaliteit van de app nietsvermoedend gebruiken. Door de grote stroom aan SonicSpy-apps is het waarschijnlijk dat de apps automatisch gebouwd worden, al zijn de desktop-tools op moment van schrijven nog niet gevonden.

Het account achter Soniac, iraqwebservice, meldde eerder al SonicSpy-samples aan bij de Play Store, al zijn die allebei niet langer meer terug te vinden. Het is niet zeker of deze verwijderd zijn door Google, of dat de auteur ze verwijderde om niet ontdekt te worden. Uit onderzoek van opgeslagen Play Store-pagina’s van deze apps, Hulk Messenger en Troy Chat blijkt dat deze apps over dezelfde functionaliteit als SonicSpy-samples beschikten.

hulk-615x297

“Iedereen die gevoelige informatie op zijn mobiele devices heeft staan of deze daarop benadert, moet bedacht zijn op SonicSpy”, zegt Michael Flossmann, hoofd security research services bij Lookout. “De mensen erachter hebben laten zien dat ze hun spyware in officiële app stores kunnen krijgen. Maar ook gebruik van de duizenden apps daarbuiten, die door mensen worden gedownload omdat ze bijvoorbeeld hun telefoon hebben geroot en geen toegang meer hebben tot officiële app stores, zijn niet zonder gevaar. Aangezien de spyware nog steeds en automatisch wordt gebouwd, is de kans groot dat SonicSpy opnieuw zal opduiken."