Soniac adalah aplikasi pesan palsu yang telah dihapus dari Play Store setelah pembuat Android diberitahu oleh perusahaan keamanan Mobile Lookout, sebuah laporan Ars Technica mengatakan.
Ada dua aplikasi lain yang sejenis di Google Play - Hulk Messenger dan Troy Chat - yang tidak terlihat di mana pun. Tidak jelas apakah Google menghapusnya atau pembuat kontennya.
Memungkinkan penyerang untuk melanggar keamanan dan privasi pengguna, Soniac menyamar sebagai versi modifikasi dari aplikasi pesan instan Telegram, dan termasuk dalam keluarga malware SonicSpy. Aplikasi ini memiliki jumlah download antara 1000-5000 kali sebelum Google menendangnya keluar dari Google Play.
 |
| Gambar : Lookout |
 |
| Gambar : Lookout |
Potensi aplikasi berbahaya ini meliputi, "kemampuan untuk merekam audio secara diam-diam, mengambil foto dengan kamera, membuat panggilan keluar, mengirim pesan teks ke nomor yang ditentukan penyerang, dan mengambil informasi seperti log panggilan, kontak, dan informasi tentang jalur akses Wi-Fi ,”tulis Michael Flossman dalam posting blog-nya dibuat pekan lalu.
Setelah pengguna memasangnya, aplikasi ini akan menyembunyikan ikon peluncurnya dan kemudian membentuk koneksi dengan infrastruktur C2 penyerang (arshad93.ddns [.] net: 2222). Lalu aplikasi ini akan muncul kembali sebagai aplikasi Telegram yang telah dimodifikasi.
Tiga aplikasi tersebut hanyalah sebuah fragmen kecil dari sejumlah besar sekitar 1000 aplikasi spyware SonicSpy, yang dilaporkan sejak Februari 2017. Aplikasi yang tersisa mungkin telah didistribusikan melalui platform lain yang tidak diketahui atau bisa saja melalui SMS yang memiliki tautan unduhan.
Ketika digabungkan, keluarga SonicSpy mendukung total 73 perintah yang dapat dikeluarkan dari jarak jauh oleh sang penyerang, yang menurut para peneliti mungkin berbasis di Irak. Selain hal tersebut, kode SonicSpy juga terkait dengan keluarga malware lain yang disebut SpyNote, yang pertama kali dilaporkan pada bulan Juli 2016 oleh Palo Alto Networks.
Menurut Lookout, mungkin ada aktor yang sama di belakang kedua keluarga Spyware tersebut. "Sebagai contoh, keduanya berbagi kesamaan kode, secara teratur menggunakan layanan DNS dinamis, dan berjalan di port 2222 non-standar."
Flossman telah memperingatkan pengguna Android tentang SonicSpy sedang dalam pengembangan aktif dan kemungkinan untuk melakukan comeback di masa depan.
Faktanya, pengembang SonicSpy berhasil mendapatkan aplikasi spyware yang berbeda di Google Play, cukup mengerikan. Hal ini terlepas dari tindakan keamanan yang ketat yang diterapkan oleh Google, dan mungkin akan membuat kepercayaan pengguna terjadi jika insiden serupa terjadi lebih sering. Awal tahun ini, Google menghapus malware yang disebut "System Update" yang tidak terdeteksi selama tiga tahun.
Baca catatan blog Lookout di sini untuk lebih jelasnya.
COMMENTS