En ArsTechnica se publicó un interesante análisis en el cuál se describe una familia de aplicaciones descubierta por la empresa de seguridad móvil Lookout llamada SonicSpy, creada por un grupo de hackers de Iraq y que han podido infectar más de 4000 apps en el Google Play (la tienda de aplicaciones de Google).
Una de estas aplicaciones se llamaba Soniac, que tenía de 1.000 a 5.000 descargas antes de que Google la eliminara, proporcionaba funciones de mensajería a través de una versión personalizada del programa de comunicaciones Telegram. Entre bastidores, Soniac tuvo la capacidad de grabar subrepticiamente audio, tomar llamadas telefónicas, hacer llamadas, enviar mensajes de texto y hacer una copia del registro de llamadas, copiar la lista de contactos e información sobre puntos de acceso Wi-Fi. Google expulsó la aplicación después de que Lookout la denunciara como maliciosa.
Otras dos aplicaciones de la misma familia han sido Hulk Messenger y Troy Chat, también estaban disponibles en Google Play pero fueron removidas más tarde. No está claro si el desarrollador retiró las aplicaciones o si Google las expulsó después de descubrir sus capacidades de espionaje. Las aplicaciones restantes -que desde febrero superan ligeramente a más de 4000- están siendo distribuidas a través de otros canales que no fueron inmediatamente claros. El investigador Michael Flossman de la empresa de seguridad Lookout dijo que esos canales pueden incluir mercados alternativos o mensajes de texto con links de descarga directa. Las aplicaciones forman parte de una familia de malware Lookout ha denominado SonicSpy.
Esta familia de aplicaciones SonicSpy, tiene similitudes con otra familia de aplicaciones maliciosas llamada SpyNote, que la empresa de seguridad Palo Alto Networks informó el año pasado. El nombre de la cuenta del desarrollador “iraqwebservice” y varios rasgos encontrados en el código de las aplicaciones sugieren que el o los desarrolladores se encuentra en Irak. Además, gran parte de la infraestructura de dominio asociada con SonicSpy tiene referencias a ese país. La frase “Escudo Iraquí” aparece constantemente.
Tengamos presente que abrir cualquier link recibido por mensaje de texto o descargar apps de fuentes no confiables es siempre un riesgo de seguridad. Así que una forma de estar protegidos contra este tipo de apps maliciosas, que pueden afectar incluso hasta smartphones Android completamente actualizados, es seguir la recomendación de Lookout de no usar mercados de aplicaciones no oficiales.