公式ストアである「Google Play」を含む「Android」の各種アプリストアに、1000件を超えるスパイウェアアプリがハッカーらによって配置されていた。感染した端末のほぼすべての動作を監視できるアプリだ。

SonicSpyと名付けられたマルウェアは、通話や音声の録音、写真の撮影、攻撃者が指定した番号への通話の発信やテキストメッセージの送信、通話ログ、連絡先、Wi-Fiアクセスポイントに関する情報の監視を、ひそかに行うことができる。

SonicSpyは、全部で73の異なるコマンドを実行するようにリモートから指示可能で、イラクのマルウェア開発者らが作成したものと思われる。

メッセージングアプリケーションとして提供されているこのマルウェアは、ユーザーがダウンロードを疑わないように、能書きどおりのメッセージング機能を実行するが、それと同時に、ユーザーのデータを盗み、C&Cサーバに転送する。

SonicSpyは、Lookoutの研究者らが公式アプリストアであるGoogle Playで、その3つのバージョンを見つけたことによって発見された。3つのバージョンはそれぞれ、メッセージングサービスとして提供されていた。

Googleはその後、「soniac」「hulk messenger」「troy chat」というこれらの悪質なアプリを同社ストアから削除したが、サードパーティーのアプリストアで多数の他のバージョンが引き続き提供されており、同マルウェアは数千回ダウンロードされた可能性がある。Google Playから削除された時点で、soniacは1000～5000回ダウンロードされていた。



提供：Lookout 提供：Lookout

Google PlayからダウンロードされたSonicSpyは、ユーザーに見つからないように、ランチャーアイコンをスマートフォンメニューから削除する。続いてC&Cサーバに接続し、「Telegram」アプリの改変版のダウンロードとインストールを試みる。

このカスタムアプリには、攻撃者が端末の重要な制御を取得できるようにする悪質な機能が含まれている。攻撃者が特定のユーザーを標的にしているのか、それともマルウェアをダウンロードする任意のユーザーから情報を取得しようとしているのかは不明だ。