• 發布單位:TWCERT/CC
• 更新日期:2019-03-24
• 點閱次數:326

●重點摘要
1. Lookout的研究人員發現稱為 SonicSpy 的惡意軟體有三個版本出現在 Google Play 官方的應用商店中，每個都是偽造為正常的簡訊服務 APP。
2. SonicSpy 會無聲息地偷偷記錄通話和音訊、拍照、撥打電話、發送簡訊給攻擊者指定的號碼、監看通話記錄和聯繫人，並監控有關Wi-Fi接入點的資訊。
3. 整體來說， SonicSpy 可以遠程執行73種不同的命令，並且資安專家懷疑是來自伊拉克的惡意軟體開發人員。
4. 為了取信誘使受害者下載，除了在商店上偽裝正常的簡訊服務的 APP 外，下載後也真正會執行發送訊息的功能，但也同時竊取他們的資料並將其傳輸到命令和控制伺服器(C&C)。
5. 當使用者下載後便會移除桌面或應用程式選單上啟動程式的圖示以自身隱藏，然後開始下載並安裝特製版本的 Telegram APP，其包含允許攻擊者獲得對設備的主要控制的惡意功能。
6. 即使 Google 可以移除這類惡意軟體，但許多其他版本仍然可在第三方 APP平台上下載，惡意軟體可能已經下載了數千次。

●TWCERT/CC建議勿在第三方 APP 平台下載任何應用軟體，即使官方下載平台也務必以知名開發團隊為主，以免遭駭客利用。

攻擊手法：Spyware

參考連結：

http://www.zdnet.com/article/android-app-stores-flooded-with-1000-spyware-apps/
https://blog.lookout.com/sonicspy-spyware-threat-technical-research