Almeno il malware Cynos di AppGallery si è infiltrato 9.3 milioni di dispositivi Android

Gli esperti di Doctor Web hanno rilevato malware Cynos (Android.Cynos.7.origin) nell'app store ufficiale per i dispositivi Huawei, AppGallery. In totale, Applicazioni infettate da Cynos (di solito giochi) sono stati installati più di 9.3 milioni di volte.

I ricercatori scrivono che Android.Cynos.7.origin è una delle modifiche del Cynos modulo software, che è progettato per essere incorporato nelle applicazioni Android per monetizzarle.

Questa piattaforma è nota almeno dal 2014. Alcune delle sue versioni hanno funzionalità piuttosto aggressive: inviano SMS a numeri a pagamento e intercettano gli SMS in arrivo, scarica e avvia vari moduli, e scarica e installa altre applicazioni.

Nella nuova versione trovata in AppGallery, le funzioni principali sono la raccolta di informazioni sugli utenti e sui loro dispositivi mobili, oltre a visualizzare annunci pubblicitari.

Cynos è stato trovato in 190 giochi presenti nel catalogo AppGallery. Tra questi ci sono vari simulatori, platformer, portici, strategie e tiratori con il numero di installazioni da diverse migliaia a diversi milioni. In totale, sono stati scaricati almeno da 9,300,000 utenti (il numero di installazioni è stato calcolato in base ai valori di download per ogni applicazione pubblicata in AppGallery).

Alcuni dei giochi erano rivolti al pubblico di lingua russa, aveva titoli e descrizioni localizzati in lingua russa. Altri hanno preso di mira un pubblico cinese o internazionale.

Affinché il Trojan possa accedere a determinati dati, quando vengono lanciate applicazioni infette, Trojan chiede agli utenti il ​​permesso di controllare le telefonate.

Se si ottengono i diritti necessari, il Trojan raccoglie e trasmette le seguenti informazioni al server remoto:

  1. numero di cellulare dell'utente;
  2. posizione del dispositivo, che viene determinato in base alle coordinate GPS o ai dati di una rete mobile e di un punto di accesso Wi-Fi (se l'applicazione dispone dell'autorizzazione per accedere alla determinazione della posizione);
  3. vari parametri della rete mobile, come il codice di rete, prefisso internazionale del cellulare, e se hai il permesso di accedere alla posizione, l'ID della stazione base e l'ID internazionale dell'area di localizzazione;
  4. varie caratteristiche tecniche del dispositivo;
  5. vari parametri dai metadati dell'applicazione in cui è incorporato il trojan.

Sebbene la fuga di informazioni su un numero di cellulare possa sembrare a prima vista un problema minore, gli esperti scrivono che in realtà può portare a gravi conseguenze negative per gli utenti, soprattutto in considerazione del fatto che i bambini erano il pubblico target principale delle applicazioni infette.

Anche se il numero di telefono è indicato come adulto, il fatto di scaricare un gioco per bambini può molto probabilmente indicare che il bambino sta effettivamente usando il telefono. È molto dubbio che i genitori vorranno trasferire i dati di cui sopra sul telefono del bambino non solo a server stranieri sconosciuti, ma a chiunque nel complesso.dicono gli esperti.
Doctor Web's gli specialisti hanno già avvisato Huawei sulle minacce identificate, e al momento attualmente tutte le applicazioni infette sono state rimosse da AppGallery.

Come promemoria, abbiamo anche scritto di SharkBot Android Trojan ruba criptovaluta e hackera conti bancari.

Helga Smith

Sono sempre stato interessato all'informatica, in particolare la sicurezza dei dati e il tema, che si chiama oggi "scienza dei dati", dalla mia prima adolescenza. Prima di entrare nel team di rimozione virus come caporedattore, Ho lavorato come esperto di sicurezza informatica in diverse aziende, incluso uno degli appaltatori di Amazon. Un'altra esperienza: Ho l'insegnamento nelle università di Arden e Reading.

lascia un commento

Questo sito utilizza Akismet per ridurre lo spam. Scopri come il tuo commento dati vengono elaborati.

Pulsante Torna in alto