Cynos malware fra AppGallery infiltrerede i det mindste 9.3 millioner Android-enheder
Doctor Web-eksperter har opdaget Cynos malware (Android.Cynos.7.oprindelse) i den officielle app-butik til Huawei-enheder, AppGallery. I alt, Cynos-inficerede applikationer (normalt spil) blev installeret mere end 9.3 million gange.
Forskerne skriver, at Android.Cynos.7.origin er en af modifikationerne af Cynos software modul, som er designet til at blive integreret i Android-applikationer for at tjene penge på dem.
Denne platform har i det mindste været kendt siden 2014. Nogle af dens versioner har ret aggressiv funktionalitet: de sender SMS-beskeder til premiumnumre og opsnapper indgående SMS, download og start forskellige moduler, og download og installer andre applikationer.
I den nye version fundet i AppGallery, hovedfunktionerne er at indsamle oplysninger om brugere og deres mobile enheder, samt visning af annoncer.
Cynos blev fundet i 190 spil i AppGallery-kataloget. Blandt dem er forskellige simulatorer, platformspillere, arkader, strategier og skydespil med antallet af installationer fra flere tusinde til flere millioner. I alt, de blev downloadet af mindst 9,300,000 brugere (antallet af installationer blev beregnet ud fra downloadværdierne for hver applikation offentliggjort i AppGallery).
Nogle af spillene var rettet mod russisktalende publikum, havde lokaliserede russisksprogede titler og beskrivelser. Andre målrettede et kinesisk eller internationalt publikum.
For at trojaneren kan få adgang til visse data, når inficerede applikationer startes, Trojan beder brugere om tilladelse til at styre telefonopkald.
Hvis de nødvendige rettigheder opnås, trojaneren indsamler og sender følgende information til fjernserveren:
- brugerens mobiltelefonnummer;
- enhedens placering, som bestemmes ud fra GPS-koordinater eller data fra et mobilnetværk og et Wi-Fi-adgangspunkt (hvis applikationen har tilladelse til at få adgang til lokaliseringsbestemmelse);
- forskellige parametre i mobilnetværket, såsom netværkskode, mobil landekode, og hvis du har tilladelse til at få adgang til placeringen, basestationens ID og lokalitetsområdets internationale ID;
- forskellige tekniske egenskaber ved enheden;
- forskellige parametre fra metadataene for den applikation, som trojaneren er indlejret i.
Selvom lækage af oplysninger om et mobilnummer ved første øjekast kan synes at være et mindre problem, eksperter skriver, at det i virkeligheden kan føre til alvorlige negative konsekvenser for brugerne, især i betragtning af, at børn var hovedmålgruppen for inficerede applikationer.
Som en påmindelse, vi skrev også om SharkBot Android Trojan stjæler kryptovaluta og hacker bankkonti.