Cynos malware från AppGallery infiltrerade åtminstone 9.3 miljoner Android-enheter
Doctor Web-experter har upptäckt skadlig kod från Cynos (Android.Cynos.7.ursprung) i den officiella appbutiken för Huawei-enheter, AppGallery. Totalt, Cynos-infekterade applikationer (oftast spel) installerades mer än 9.3 miljoner gånger.
Forskarna skriver att Android.Cynos.7.origin är en av modifieringarna av Cynos mjukvarumodul, som är designad för att bäddas in i Android-applikationer för att tjäna pengar på dem.
Denna plattform har varit känd sedan åtminstone 2014. Vissa av dess versioner har ganska aggressiva funktioner: de skickar SMS till premiumnummer och avlyssnar inkommande SMS, ladda ner och starta olika moduler, och ladda ner och installera andra applikationer.
I den nya versionen som finns i AppGallery, huvudfunktionerna är att samla in information om användare och deras mobila enheter, samt visa annonser.
Cynos hittades i 190 spel som finns i AppGallery-katalogen. Bland dem finns olika simulatorer, plattformsspel, arkader, strategier och skjutspel med antalet installationer från flera tusen till flera miljoner. Totalt, de laddades ner av åtminstone 9,300,000 användare (antalet installationer beräknades baserat på nedladdningsvärdena för varje applikation publicerad i AppGallery).
Några av spelen riktade sig till rysktalande publik, hade lokaliserade ryskspråkiga titlar och beskrivningar. Andra riktade sig till en kinesisk eller internationell publik.
För att trojanen ska få tillgång till viss data, när infekterade applikationer startas, Trojan ber användare om tillåtelse att kontrollera telefonsamtal.
Om nödvändiga rättigheter erhålls, trojanen samlar in och överför följande information till fjärrservern:
- användarens mobiltelefonnummer;
- enhetens plats, som bestäms utifrån GPS-koordinater eller data från ett mobilt nätverk och en Wi-Fi-åtkomstpunkt (om applikationen har behörighet att komma åt platsbestämning);
- olika parametrar i mobilnätet, som nätverkskod, mobil landskod, och om du har behörighet att komma åt platsen, basstationens ID och lokaliseringsområdets internationella ID;
- olika tekniska egenskaper hos enheten;
- olika parametrar från metadata för applikationen som trojanen är inbäddad i.
Även om läckage av information om ett mobilnummer kan tyckas vid första anblicken vara ett mindre problem, experter skriver att det i verkligheten kan leda till allvarliga negativa konsekvenser för användarna, särskilt med tanke på att barn var den främsta målgruppen för infekterade applikationer.
Som en påminnelse, skrev vi också om SharkBot Android Trojan stjäl kryptovaluta och hackar bankkonton.