Cynos malware från AppGallery infiltrerade åtminstone 9.3 miljoner Android-enheter

Doctor Web-experter har upptäckt skadlig kod från Cynos (Android.Cynos.7.ursprung) i den officiella appbutiken för Huawei-enheter, AppGallery. Totalt, Cynos-infekterade applikationer (oftast spel) installerades mer än 9.3 miljoner gånger.

Forskarna skriver att Android.Cynos.7.origin är en av modifieringarna av Cynos mjukvarumodul, som är designad för att bäddas in i Android-applikationer för att tjäna pengar på dem.

Denna plattform har varit känd sedan åtminstone 2014. Vissa av dess versioner har ganska aggressiva funktioner: de skickar SMS till premiumnummer och avlyssnar inkommande SMS, ladda ner och starta olika moduler, och ladda ner och installera andra applikationer.

I den nya versionen som finns i AppGallery, huvudfunktionerna är att samla in information om användare och deras mobila enheter, samt visa annonser.

Cynos hittades i 190 spel som finns i AppGallery-katalogen. Bland dem finns olika simulatorer, plattformsspel, arkader, strategier och skjutspel med antalet installationer från flera tusen till flera miljoner. Totalt, de laddades ner av åtminstone 9,300,000 användare (antalet installationer beräknades baserat på nedladdningsvärdena för varje applikation publicerad i AppGallery).

Några av spelen riktade sig till rysktalande publik, hade lokaliserade ryskspråkiga titlar och beskrivningar. Andra riktade sig till en kinesisk eller internationell publik.

För att trojanen ska få tillgång till viss data, när infekterade applikationer startas, Trojan ber användare om tillåtelse att kontrollera telefonsamtal.

Om nödvändiga rättigheter erhålls, trojanen samlar in och överför följande information till fjärrservern:

  1. användarens mobiltelefonnummer;
  2. enhetens plats, som bestäms utifrån GPS-koordinater eller data från ett mobilt nätverk och en Wi-Fi-åtkomstpunkt (om applikationen har behörighet att komma åt platsbestämning);
  3. olika parametrar i mobilnätet, som nätverkskod, mobil landskod, och om du har behörighet att komma åt platsen, basstationens ID och lokaliseringsområdets internationella ID;
  4. olika tekniska egenskaper hos enheten;
  5. olika parametrar från metadata för applikationen som trojanen är inbäddad i.

Även om läckage av information om ett mobilnummer kan tyckas vid första anblicken vara ett mindre problem, experter skriver att det i verkligheten kan leda till allvarliga negativa konsekvenser för användarna, särskilt med tanke på att barn var den främsta målgruppen för infekterade applikationer.

Även om telefonnumret står som vuxen, faktumet att ladda ner ett barnspel kan mycket troligt indikera att barnet faktiskt använder telefonen. Det är mycket tveksamt att föräldrarna kommer att vilja överföra ovanstående data om barnets telefon inte bara till okända utländska servrar, men till vem som helst överlag.säger experterna.
Doktor Webs specialister har redan meddelat Huawei om de identifierade hoten, och för närvarande har alla infekterade applikationer tagits bort från AppGallery.

Som en påminnelse, skrev vi också om SharkBot Android Trojan stjäl kryptovaluta och hackar bankkonton.

Helga Smith

Jag var alltid intresserad av datavetenskap, särskilt datasäkerhet och temat, som kallas nuförtiden "datavetenskap", sedan mina tidiga tonåringar. Innan du kommer in i Virusborttagningsteamet som chefredaktör, Jag arbetade som cybersäkerhetsexpert i flera företag, inklusive en av Amazons entreprenörer. En annan upplevelse: Jag har undervisning vid universitet i Arden och Reading.

Lämna ett svar

Denna webbplats använder Akismet att minska mängden skräppost. Lär dig hur din kommentar data bearbetas.

Tillbaka till toppen