Die US-amerikanische IT-Sicherheitsfirma Lookout konnte Spyware in über tausend Apps für Android nachweisen. Mindestens drei davon waren im Play Store von Google für Anwender erhältlich.
Seit Februar 2017 konnte die Spyware „SonicSpy“ von den IT-Sicherheitsexperten in über 1.000 Apps für Android nachgewiesen werden. Betroffene Anwendungen, wie zum Beispiel „hulk messenger“, „troy chat“ sowie „soniac“, wurden aus dem Play Store nach bekanntwerden umgehend entfernt. Erster Anhaltspunkt für eine mögliche Bedrohung war, dass die Security-Software von Lookout verdächtige Aktivitäten der „soniac“-App meldete. Daraufhin untersuchten die Spezialisten die Messenger-App genauer.
Wie aus der Analyse hervorging, beinhaltet „soniac“ eine modifizierte Version des Telegram-Messengers einschließlich Schadfunktion. Der Schadcode schneidet Gespräche mit, nimmt unbemerkt Fotos auf, tätigt Telefonat und kopiert Anruflisten mit allen hinterlegten Kontaktinformationen.
Bei seiner ersten Ausführung auf dem Smartphone oder Tablet löscht die Spyware ihr Start-Icon und verstreckt sich damit vor dem Smartphone-Nutzer. Im Anschluss daran nimmt die Anwendung Kontakt mit einem Command-and-Control-Server auf und lädt im Hintergrund die gefährliche Telegram-Version auf das Gerät herunter.
Laut Lookout enthält „soniac“ zahlreiche Ähnlichkeiten zur Malware-Familien „SpyNote“, welche Mitte 2016 für Unruhe sorgte. Derzeit liegt die Vermutung nahe, dass die Spyware im Irak entwickelt und verbreitet wurde.