Ainakin AppGalleryn Cynos-haittaohjelmat soluttautuivat 9.3 miljoonaa Android-laitetta
Doctor Web -asiantuntijat ovat havainneet Cynos-haittaohjelman (Android.Cynos.7.origin) Huawei-laitteiden virallisessa sovelluskaupassa, AppGallery. Yhteensä, Cynos-tartunnan saaneet sovellukset (yleensä pelejä) asennettiin enemmän kuin 9.3 miljoonaa kertaa.
Tutkijat kirjoittavat, että Android.Cynos.7.origin on yksi modifikaatioista Cynos ohjelmistomoduuli, joka on suunniteltu upotettavaksi Android-sovelluksiin niiden ansaitsemiseksi.
Tämä alusta on ollut tiedossa ainakin siitä lähtien 2014. Joissakin sen versioissa on melko aggressiivisia toimintoja: he lähettävät tekstiviestejä premium-numeroihin ja sieppaavat saapuvat tekstiviestit, ladata ja käynnistää erilaisia moduuleja, ja lataa ja asenna muita sovelluksia.
Uudessa versiossa, joka löytyy AppGallerysta, päätoiminnot ovat tiedon kerääminen käyttäjistä ja heidän mobiililaitteistaan, sekä mainosten näyttämiseen.
Cynos löydettiin 190 AppGallery-luettelossa olevia pelejä. Niiden joukossa on erilaisia simulaattoreita, tasohyppelyt, pelihallit, strategioita ja ampujia, joiden asennusten määrä vaihtelee useista tuhansista useisiin miljooniin. Yhteensä, ne latasi ainakin 9,300,000 käyttäjiä (asennusten määrä laskettiin kunkin AppGalleryssa julkaistun sovelluksen latausarvojen perusteella).
Osa peleistä oli suunnattu venäjänkieliselle yleisölle, oli lokalisoituja venäjänkielisiä otsikoita ja kuvauksia. Toiset kohdistuivat kiinalaiseen tai kansainväliseen yleisöön.
Jotta troijalainen pääsisi käsiksi tiettyihin tietoihin, kun tartunnan saaneet sovellukset käynnistetään, Troijalainen pyytää käyttäjiltä lupaa hallita puheluita.
Jos tarvittavat oikeudet hankitaan, troijalainen kerää ja lähettää seuraavat tiedot etäpalvelimelle:
- käyttäjän matkapuhelinnumero;
- laitteen sijainti, joka määritetään GPS-koordinaattien tai mobiiliverkon ja Wi-Fi-tukiaseman tietojen perusteella (jos sovelluksella on lupa käyttää sijainnin määritystä);
- matkapuhelinverkon eri parametrit, kuten verkkokoodi, matkapuhelimen maakoodi, ja jos sinulla on lupa käyttää sijaintia, tukiaseman tunnus ja sijaintialueen kansainvälinen tunnus;
- laitteen erilaiset tekniset ominaisuudet;
- erilaisia parametreja sen sovelluksen metatiedoista, johon troijalainen on upotettu.
Vaikka matkapuhelinnumeroa koskevien tietojen vuotaminen saattaa ensi silmäyksellä vaikuttaa pieneltä ongelmalta, Asiantuntijat kirjoittavat, että todellisuudessa se voi johtaa vakaviin kielteisiin seurauksiin käyttäjille, varsinkin kun otetaan huomioon, että lapset olivat tartunnan saaneiden sovellusten pääasiallinen kohdeyleisö.
Muistutuksena, kirjoitimme myös aiheesta SharkBot Android Troijalainen varastaa kryptovaluuttoja ja hakkeroi pankkitilejä.