Хакеры наводнили магазины приложений на платформе Android, в том числе официальный магазин Google Play, более чем тысячей шпионских приложений, которые могут наблюдать за активностью пользователей инфицированных устройств. Программа SonicSpy способна записывать звонки и звук с микрофона, снимать фотографии, выполнять звонки, отправлять текстовые сообщения на заданные номера, отслеживать логи звонков, контакты, собирать данные о точках доступа Wi-Fi.
SonicSpy может дистанционно выполнять 73 команды. Предположительно, разработчики находятся в Ираке. Программа позиционируется как мессенджер и работает как мессенджер, чтобы не вызывать подозрений, пока происходит кража и передача данных на сервер.
SonicSpy обнаружили исследователи из компании Lookout, найдя только в магазине Google Play три версии (soniac, hulk messenger и troy chat). Google убрала их, но остаются другие в сторонних магазинах, скачать их могли уже тысячи раз. В момент удаления из Google Play версию soniac скачали 1000-5000 раз.
Sonic Spy прячет свою иконку из меню смартфона, потом подключается к серверу и пытается скачать модифицированную версию мессенджера Telegram. Она содержит вредоносные возможности, которые позволяют получить контроль над устройством. Неизвестно, нацеливаются ли хакеры на определённых людей или на всех подряд.
Анализ образцов SonicSpy показал, что есть сходство со шпионом под названием Spynote, обнаруженным в середине прошлого года. У них есть общий код, они используют динамические DNS и нестандартный порт 2222.