นักวิจัยด้านความปลอดภัยของ Lookout พบมัลแวร์ตระกูล SonicSpy กว่า 4,000 แอพตั้งแต่เดือนกุมภาพันธ์ที่ผ่านมา และมีอย่างน้อย 3 ตัวสามารถหลุดเข้าไปบน Google Play Store ได้สำเร็จ
แอพตัวแรกก็คือ Soniac จากข้อมูลบน Play Store เผยว่ามียอดดาวน์โหลดอยู่ระหว่าง 1,000 – 5,000 ครั้ง ฟีเจอร์ที่โฆษณาคือการส่งข้อความ โดยมันคือแอพ Telegram ที่เปลี่ยนแปลงหน้าตาและใส่มัลแวร์เข้ามา โดยเบื้องหลังนั้นมันสามารถทำการอัดเสียง ถ่ายรูป โทรออก ส่งข้อความ และบันทึกการโทรเข้าออก รายชื่อเบอร์โทรศัพท์ และข้อมูล WiFi ของเราได้
อีกสองแอพที่ค้นพบก็คือ Hulk Messenger และ Troy Chat แน่นอนว่าแอพทั้งสามนี้ถูกลบออกไปแล้วจาก Google Play Store โดยแม้จะถูกลบออกจาก Play Store แต่แอพเหล่านี้ก็ยังไม่ตาย แต่แพร่กระจายบนอินเทอร์เน็ทต่อไปในรูปของไฟล์ APK ที่สามารถโหลดมาติดตั้งได้ หรืออาจจะเป็น App Store อื่นๆ ที่ให้บริการแบบเดียวกับ Play Store นั่นเอง
มัลแวร์กลุ่ม SonicSpy ทั้งหมดจะคอยคำสั่งจากเซิฟเวอร์กลางของตนเพื่อทำหน้าที่ขโมยข้อมูลต่างๆ ซึ่งมีคำสั่งรวมๆ แล้ว 73 คำสั่งที่แฮคเกอร์สามารถสั่งมัลแวร์ให้ปฏิบัติการแบบลับๆ ได้
การทำงานของ SonicSpy นั้นเมื่อติดตั้งแล้วมันจะซ่อนไอคอนของตัวเองจาก Launcher ทำให้ผู้ใช้งานไม่รู้ว่าถูกติดตั้งมัลแวร์แล้ว จากนั้นจะเปิดคอนเนคชันพอร์ต 2222 ไปยัง arshad93.ddns.net เพื่อรอคำสั่ง
นักวิจัยด้านความปลอดภัยชี้ว่า SonicSpy มีการทำงานคล้ายกับแอพมัลแวร์อีกตระกูลหนึ่งที่ชื่อว่า SpyNote ที่ตรวจพบเมื่อปีที่แล้ว โดยชื่อผู้พัฒนาคือ iraqwebservice และโค้ดหลายส่วนบ่งชี้ว่านักพัฒนาอยู่ในอิรัก รวมไปถึงโดเมนจำนวนมากที่ลิ้งค์อยู่ในมัลแวร์ก็เป็นของอิรักเช่นกัน และคำว่า Iraqian Shield ก็ปรากฏอยู่บ่อยครั้ง
รายงานฉบับนี้ของ Lookout ชี้ให้เห็นถึงภัยของการติดตั้งแอพผ่าน Store ภายนอกที่ไม่ใช่ Play Store ว่ามีความเสี่ยงแค่ไหน และถึงจะเป็น Google Play ก็ใช่ว่าจะปลอดภัยเสมอไป ดังนั้นผู้ใช้งานควรจะปิดการติดตั้งแอพผ่านไฟล์ APK และตรวจสอบสม่ำเสมอว่าแอพที่จะทำการติดตั้งจาก Play Store นั้นเหมาะสมหรือเปล่า โดยเฉพาะถ้าเป็นแอพที่มียอดดาวน์โหลดน้อยๆ
ที่มา – Arstechnica