Le malware Cynos d'AppGallery s'est infiltré au moins 9.3 millions d'appareils Android
Les experts de Doctor Web ont détecté le malware Cynos (Android.Cynos.7.origine) dans la boutique d'applications officielle pour les appareils Huawei, Galerie d'applications. Au total, Applications infectées par Cynos (généralement des jeux) ont été installés plus de 9.3 millions de fois.
Les chercheurs écrivent qu'Android.Cynos.7.origin est l'une des modifications du Cynos module logiciel, qui est conçu pour être embarqué dans des applications Android afin de les monétiser.
Cette plateforme est connue depuis au moins 2014. Certaines de ses versions ont des fonctionnalités plutôt agressives: ils envoient des SMS aux numéros premium et interceptent les SMS entrants, télécharger et lancer divers modules, et télécharger et installer d'autres applications.
Dans la nouvelle version trouvée dans AppGallery, les principales fonctions sont la collecte d'informations sur les utilisateurs et leurs appareils mobiles, ainsi que l'affichage d'annonces.
Cynos a été trouvé dans 190 jeux présentés dans le catalogue AppGallery. Parmi eux se trouvent divers simulateurs, les plateformes, arcades, stratégies et tireurs avec le nombre d'installations de plusieurs milliers à plusieurs millions. Au total, ils ont été téléchargés par au moins 9,300,000 utilisateurs (le nombre d'installations a été calculé sur la base des valeurs de téléchargement pour chaque application publiée dans AppGallery).
Certains des jeux ciblaient le public russophone, avait localisé des titres et des descriptions en russe. D'autres ciblaient un public chinois ou international.
Pour que le cheval de Troie ait accès à certaines données, lorsque des applications infectées sont lancées, Trojan demande aux utilisateurs la permission de contrôler les appels téléphoniques.
Si les droits nécessaires sont obtenus, le cheval de Troie collecte et transmet les informations suivantes au serveur distant:
- numéro de téléphone portable de l'utilisateur;
- emplacement de l'appareil, qui est déterminé en fonction des coordonnées GPS ou des données d'un réseau mobile et d'un point d'accès Wi-Fi (si l'application est autorisée à accéder à la détermination de l'emplacement);
- divers paramètres du réseau mobile, comme le code réseau, code pays mobile, et si vous avez la permission d'accéder à l'emplacement, l'ID de la station de base et l'ID international de la zone de localisation;
- diverses caractéristiques techniques de l'appareil;
- divers paramètres des métadonnées de l'application dans laquelle le cheval de Troie est intégré.
Bien que la fuite d'informations sur un numéro de mobile puisse sembler à première vue être un problème mineur, les experts écrivent qu'en réalité, cela peut entraîner de graves conséquences négatives pour les utilisateurs, d'autant plus que les enfants étaient le principal public cible des applications infectées.
Pour rappel, nous avons également écrit sur RequinBot Le cheval de Troie Android vole la crypto-monnaie et pirate les comptes bancaires.