תוכנה זדונית Cynos מ-AppGallery חדרה לפחות 9.3 מיליון מכשירי אנדרואיד
מומחי Doctor Web זיהו תוכנות זדוניות של Cynos (Android.Cynos.7.origin) בחנות האפליקציות הרשמית למכשירי Huawei, AppGallery. בסך הכל, יישומים נגועים בסינוס (בדרך כלל משחקים) הותקנו יותר מ 9.3 מיליון פעמים.
החוקרים כותבים כי Android.Cynos.7.origin הוא אחד השינויים של ה- סינוס מודול תוכנה, אשר נועד להיות מוטמע באפליקציות אנדרואיד על מנת לייצר מהם רווחים.
הפלטפורמה הזו מוכרת מאז לפחות 2014. לחלק מהגרסאות שלו יש פונקציונליות אגרסיבית למדי: הם שולחים הודעות SMS למספרי פרימיום ומיירטים SMS נכנסים, להוריד ולהפעיל מודולים שונים, ולהוריד ולהתקין אפליקציות אחרות.
בגרסה החדשה שנמצאה ב-AppGallery, הפונקציות העיקריות הן איסוף מידע על המשתמשים והמכשירים הניידים שלהם, כמו גם הצגת מודעות.
סיינוס נמצא ב 190 משחקים המופיעים בקטלוג AppGallery. ביניהם סימולטורים שונים, פלטפורמות, ארקייד, אסטרטגיות ויורים עם מספר התקנות מכמה אלפים עד כמה מיליונים. בסך הכל, הם הורדו על ידי לפחות 9,300,000 משתמשים (מספר ההתקנות חושב על סמך ערכי ההורדה של כל אפליקציה שפורסמה ב-AppGallery).
חלק מהמשחקים מכוונים לקהל דוברי רוסית, היו לו כותרות ותיאורים מקומיים בשפה הרוסית. אחרים פנו לקהל סיני או בינלאומי.
על מנת שהטרויאני יקבל גישה לנתונים מסוימים, כאשר יישומים נגועים מופעלים, טרויאן מבקש מהמשתמשים רשות לשלוט בשיחות טלפון.
אם יתקבלו הזכויות הדרושות, הטרויאני אוסף ומשדר את המידע הבא לשרת המרוחק:
- מספר הטלפון הנייד של המשתמש;
- מיקום המכשיר, אשר נקבע על סמך קואורדינטות GPS או נתונים מרשת סלולרית ונקודת גישה ל-Wi-Fi (אם לאפליקציה יש הרשאה לגשת לקביעת מיקום);
- פרמטרים שונים של הרשת הסלולרית, כמו קוד רשת, קוד מדינה לנייד, ואם יש לך הרשאה לגשת למיקום, המזהה של תחנת הבסיס והמזהה הבינלאומי של אזור המיקום;
- מאפיינים טכניים שונים של המכשיר;
- פרמטרים שונים מהמטא נתונים של האפליקציה אליה מוטבע הטרויאני.
למרות שדליפת מידע על מספר נייד עשויה להיראות במבט ראשון כבעיה קלה, מומחים כותבים כי במציאות זה יכול להוביל להשלכות שליליות חמורות עבור המשתמשים, במיוחד לאור העובדה שילדים היו קהל היעד העיקרי של יישומים נגועים.
כתזכורת, כתבנו גם על SharkBot אנדרואיד טרויאני גונב מטבעות קריפטו ופורצים חשבונות בנק.