威胁概况

自今年2月以来，一个单一的威胁行为者已经向Android用户投放了超过4000个间谍软件应用，其中至少有3个应用成功进入了Google Play官方应用商店。

进入Google Play的间谍应用

1. Soniac：由移动安全公司Lookout的研究人员发现，该应用在Google Play上被下载了1000至5000次，提供基于Telegram的定制版通讯功能。其后台能够秘密录音、拍照、拨打电话、发送短信，并获取日志、联系人及Wi-Fi接入点信息。Google在Lookout报告其为恶意软件后将其移除。
2. Hulk Messenger 和 Troy Chat：这两款应用也曾出现在Google Play中，但后来被移除。尚不清楚是开发者主动撤回还是Google发现其间谍功能后将其下架。

其他分发渠道

其余超过4000个应用通过其他渠道分发，具体渠道尚不明确，可能包括替代市场或包含下载链接的定向短信。这些应用均属于Lookout称为SonicSpy的恶意软件家族。

SonicSpy的功能与行为

1. 隐蔽性：安装后，SonicSpy应用会移除启动器图标以隐藏自身。
2. 控制服务器连接：应用会连接到位于arshad93.ddns[.]net的2222端口的控制服务器。
3. 指令执行：一旦设备被攻陷，应用会向命令与控制服务器发送信号，并等待操作者发出的73种支持指令之一。

开发者背景

1. 开发者账户：开发者账户名为“iraqwebservice”，应用代码中的多个特征表明开发者位于伊拉克。
2. 域名基础设施：与SonicSpy相关的域名基础设施中多次提到伊拉克，例如“Iraqian Shield”这一短语频繁出现。

相关恶意软件家族

SonicSpy与另一恶意软件家族SpyNote有相似之处，后者由安全公司Palo Alto Networks在去年报告。

安全建议

1. 谨慎安装应用：Android用户应警惕非Google的应用来源，除亚马逊的Android应用外，其他来源的应用可能存在风险。
2. 避免低价值应用：用户应避免安装价值或实用性存疑的Google Play应用，尤其是下载量较少的应用。

总结

Lookout的报告提醒用户，即使仅从Google Play安装应用也不能完全保证安全。Android用户应保持警惕，避免安装来源不明或可疑的应用。