I ricercatori di Lookout hanno scoperto oltre 4.000 app Android, alcune delle quali pubblicate sul Google Play Store, che nascondono malware della famiglia SonicSpy. Si tratta di spyware che, partire dal mese di febbraio 2017, sono stati utilizzati per effettuare diverse azioni sui dispositivi delle ignare vittime, tra cui il furto di dati personali. L’azienda di Mountain View ha prontamente rimosso le app dallo store, ma quanto accaduto conferma che i controlli non sono perfetti.
Una delle tre app scoperte sul Google Play Store è Soniac, una versione modificata di Telegram che in realtà permette ai cybercriminali di ottenere il controllo del dispositivo target. Il malware può registrare l’audio, effettuare chiamata, scattare foto, inviare messaggi e raccogliere varie informazioni riservate, come la cronologia delle chiamate e contatti. Le altre due app sono Hulk Messenger e Try Chat, ma molte altre sono state scoperte all’esterno dello store di Google. Al termine dell’installazione, tutte app della famiglia SonicSpy rimuovono l’icona dal launcher e stabiliscono una connessione al server remoto.
I ricercatori di Lookout hanno individuato similitudini (porzioni di codice, uso dei servizi DNS dinamici e collegamento alla porta 2222) con SpyNote, un’altra famiglia di spyware scoperta circa un anno fa. In base ad alcuni indizi, tra cui il nome del presunto sviluppatore, sembra che le app siano state diffuse da un gruppo iracheno. Fortunatamente Google ha rimosso le app dal suo store. Ciò dimostra tuttavia che le tecnologie di machine learning utilizzate per impedirne la pubblicazione devono essere migliorate.
Gli utenti dovrebbero evitare di installare app poco conosciute con un numero ridotto di download. Non è nemmeno consigliato fare affidamento alle recensioni, in quanto potrebbero essere false. Scaricare app da siti di terze parti è ancora più pericoloso.