Sonicspy

Un grupo de hackers procedentes de Iraq han contaminado cerca de 1,000 aplicaciones para Android, algunas distribuidas en la Play Store de Google, con un malware llamado SonySpy. Este spyware, tiene la capacidad de monitorear técnicamente toda la actividad en el dispositivo infectado.

En total, SoniSpy es capaz de ejecutar cerca de 73 comandos ordenados de forma remota por los hackers. Este spyware puede tomar una fotografía con la cámara frontal o trasera, grabar audio, hacer llamadas, enviar mensajes de texto a números específicos elegidos por los hackers, sustraer información como los contactos, registros de llamadas y datos de acceso al WiFi.

De acuerdo a la empresa de seguridad Lookout, SonicSpy habría sido detectado en otras aplicaciones luego de que recibieran una muestra de tres apps de mensajería sospechosas: soniac, hulk messenger y troy chat que identificó el equipo de seguridad de la Google Play Store. Estas aplicaciones fueron eliminadas de la Play Store en Febrero 2017, pero se estima que entre 1,000 a 5,000 personas pudieron haberlas descargado.

Una vez descargada de la Play Store, la aplicación contaminada con Sonic Spy se ocultará de la víctima removiendo el icono de acceso del menú del smartphone. Luego se conectará a un centro de control y comando e intentará descargar una versión modificada de Telegram. Esta app modificada sería la que contiene el código malicioso que le confiere a los hackers el control sobre el dispositivo.

Según explican desde Lookout, otras 1,000 aplicaciones distribuidas fuera de la Google Play Store, han sido contaminadas con SonicSpy. Estas aplicaciones son las que se descargan a través de tiendas no oficiales o en foros que distribuyen aplicaciones crackeadas.

El código malicioso de SonicSpy, encontrado en estas aplicaciones, guarda relación con otro spyware llamado SpyNote desarrollado por hackers iraquíes. Lookout explica que ambos spyware utilizan un servicio DNS dinámico y corren bajo el puerto no estándar 2222. Se encuentran además referencias hacia ‘iraqwebservice’ en el código malicioso.

De momento, se desconoce si los hackers tienen objetivos específicos o están recopilando información de todas las víctimas. Lo que es claro, es que “los responsables detrás de esta familia de spywares han demostrado que son capaces de introducir su código en la tienda oficial de aplicaciones y ya que se esta desarrollando activamente, es probable que SonicSpy vuelva a surgir en el futuro”, asegura Michael Flossman, investigador de seguridad de Lookout.