Malware Cynos z AppGallery przeniknęło przynajmniej 9.3 miliony urządzeń z Androidem

Helga Smithlistopad 26, 2021Ostatnio zaktualizowany: listopad 26, 2021
51 2 minuty przeczytane

Eksperci Doctor Web wykryli złośliwe oprogramowanie Cynos (Android.Cynos.7.origin) w oficjalnym sklepie z aplikacjami dla urządzeń Huawei, Galeria aplikacji. W całości, Aplikacje zainfekowane przez Cynos (zazwyczaj gry) zostały zainstalowane więcej niż 9.3 milion razy.

Naukowcy piszą, że Android.Cynos.7.origin jest jedną z modyfikacji Cynos moduł oprogramowania, który jest przeznaczony do osadzania w aplikacjach na Androida w celu zarabiania na nich.

Ta platforma jest znana co najmniej od 2014. Niektóre z jego wersji mają dość agresywną funkcjonalność: wysyłają SMS-y na numery premium i przechwytują przychodzące SMS-y, pobierz i uruchom różne moduły, oraz pobierz i zainstaluj inne aplikacje.

W nowej wersji znalezionej w AppGallery, główne funkcje to zbieranie informacji o użytkownikach i ich urządzeniach mobilnych, a także wyświetlanie reklam.

Cynos został znaleziony w 190 gry znajdujące się w katalogu AppGallery. Wśród nich są różne symulatory, platformówki, arkady, strategie i strzelanki z liczbą instalacji od kilku tysięcy do kilku milionów. W całości, zostały pobrane przez co najmniej 9,300,000 użytkownicy (liczba instalacji została obliczona na podstawie wartości pobierania dla każdej aplikacji opublikowanej w AppGallery).

Niektóre z gier były skierowane do odbiorców rosyjskojęzycznych, miał zlokalizowane tytuły i opisy w języku rosyjskim. Inni kierowali się do chińskich lub międzynarodowych odbiorców.

Aby trojan uzyskał dostęp do określonych danych, po uruchomieniu zainfekowanych aplikacji, Trojan prosi użytkowników o pozwolenie na kontrolowanie połączeń telefonicznych.

W przypadku uzyskania niezbędnych praw, trojan zbiera i przesyła do zdalnego serwera następujące informacje:

  1. numer telefonu komórkowego użytkownika;
  2. lokalizacja urządzenia, który jest określany na podstawie współrzędnych GPS lub danych z sieci komórkowej i punktu dostępu Wi-Fi (czy aplikacja ma uprawnienia dostępu do określania lokalizacji);
  3. różne parametry sieci komórkowej, takie jak kod sieci, mobilny kod kraju, i jeśli masz pozwolenie na dostęp do lokalizacji, identyfikator stacji bazowej i międzynarodowy identyfikator obszaru lokalizacji;
  4. różne parametry techniczne urządzenia;
  5. różne parametry z metadanych aplikacji, w której osadzony jest trojan.

Chociaż wyciek informacji o numerze komórkowym na pierwszy rzut oka może wydawać się drobnym problemem, eksperci piszą, że w rzeczywistości może to prowadzić do poważnych negatywnych konsekwencji dla użytkowników, zwłaszcza biorąc pod uwagę fakt, że dzieci były główną grupą docelową zainfekowanych aplikacji.

Nawet jeśli numer telefonu jest podany jako osoba dorosła, fakt pobrania gry dla dzieci może z dużym prawdopodobieństwem wskazywać, że dziecko faktycznie korzysta z telefonu. Bardzo wątpliwe, aby rodzice chcieli przenieść powyższe dane o telefonie dziecka nie tylko na nieznane serwery zagraniczne, ale dla każdego ogólnie.eksperci mówią.
Doktora Weba specjaliści już powiadomili Huawei o zidentyfikowanych zagrożeniach, a obecnie wszystkie zainfekowane aplikacje zostały usunięte z AppGallery.

Jako przypomnienie, pisaliśmy też o SharkBot Trojan na Androida kradnie kryptowalutę i włamuje się do kont bankowych.

Tagi
Helga Smithlistopad 26, 2021Ostatnio zaktualizowany: listopad 26, 2021
51 2 minuty przeczytane

Helga Smith

Zawsze interesowałem się informatyką, zwłaszcza bezpieczeństwo danych i motyw, który nazywa się obecnie "nauka o danych", od moich wczesnych lat nastoletnich. Przed dołączeniem do zespołu usuwania wirusów jako redaktor naczelny, Pracowałem jako ekspert ds. cyberbezpieczeństwa w kilku firmach, w tym jeden z kontrahentów Amazona. Kolejne doświadczenie: Uczę na uniwersytetach Arden i Reading.

Zostaw odpowiedź

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

Przycisk Powrót do góry