Trojan Android.Cynos.7.origin

23 listopada 2021

Analitycy złośliwego oprogramowania Doctor Web odkryli w katalogu AppGallery dziesiątki gier, które mają wbudowanego trojana Android.Cynos.7.origin. Ten trojan jest przeznaczony do zbierania numerów telefonów komórkowych użytkowników. Co najmniej 9 300 000 właścicieli urządzeń z Androidem zainstalowało te niebezpieczne gry.

Android.Cynos.7.origin to jedna z modyfikacji modułu programu Cynos. Ten moduł można zintegrować z aplikacjami na Androida, aby na nich zarabiać. Platforma ta jest znana co najmniej od 2014 roku. Niektóre jej wersje mają dość agresywną funkcjonalność: wysyłają SMS-y premium, przechwytują SMS-y przychodzące, pobierają i uruchamiają dodatkowe moduły oraz pobierają i instalują inne aplikacje. Główną funkcjonalnością wersji wykrytej przez naszych analityków malware jest zbieranie informacji o użytkownikach i ich urządzeniach oraz wyświetlanie reklam.

Aplikacje zawierające Android.Cynos.7.origin proszą użytkowników o pozwolenie na wykonywanie i zarządzanie połączeniami telefonicznymi. Dzięki temu trojan może uzyskać dostęp do określonych danych. 

Gdy użytkownik udzieli pozwolenia, trojan zbiera i wysyła do zdalnego serwera następujące informacje:

Numer telefonu komórkowego użytkownika
Lokalizacja urządzenia na podstawie współrzędnych GPS lub danych sieci komórkowej i punktu dostępu Wi-Fi (gdy aplikacja ma uprawnienia dostępu do lokalizacji)
Różne parametry sieci komórkowej, takie jak kod sieci i kod kraju telefonu komórkowego; również identyfikator komórki GSM i międzynarodowy kod obszaru lokalizacji GSM (gdy aplikacja ma pozwolenie na dostęp do lokalizacji)
Różne specyfikacje techniczne urządzenia
Różne parametry z metadanych strojanizowanej aplikacji
Na pierwszy rzut oka wyciek numeru telefonu komórkowego może wydawać się nieistotnym problemem. Jednak w rzeczywistości może poważnie zaszkodzić użytkownikom, zwłaszcza biorąc pod uwagę fakt, że głównymi odbiorcami gier są dzieci.

Nawet jeśli numer telefonu komórkowego jest zarejestrowany na osobę dorosłą, pobranie gry dla dziecka może z dużym prawdopodobieństwem wskazywać, że to dziecko faktycznie korzysta z telefonu komórkowego. Bardzo wątpliwe jest, aby rodzice chcieli, aby powyższe dane o telefonie były przekazywane nie tylko na nieznane serwery zagraniczne, ale w ogóle do kogokolwiek innego.

Znaleźliśmy Android.Cynos.7.origin w 190 grach w AppGallery, takich jak symulatory, platformówki, arkady, strategie i strzelanki. Łącznie te gry pobrało ponad 9 300 000 użytkowników (liczba instalacji jest obliczana na podstawie liczby pobrań wymienionej w AppGallery dla każdej aplikacji). Niektóre z tych gier są skierowane do użytkowników rosyjskojęzycznych: mają rosyjską lokalizację, tytuły i opisy. Inne są kierowane do odbiorców chińskich lub międzynarodowych. Poniżej przedstawiono przykłady gier zawierających tego trojana.

Gra „Команда должна убить боеголовку” z ponad 8.000 instalacji:

Gra „Koci pokój gier” z ponad 427 000 instalacji:

Gra „Symulator szkoły jazdy” z ponad 142 000 instalacji::

Gra „快点躲起来” z ponad 2 000 000 instalacji:

Doctor Web powiadomił Huawei o wykrytych zagrożeniach. W momencie publikacji tej publikacji aplikacje zawierające tego trojana zostały usunięte z AppGallery.

Produkty antywirusowe Dr.Web dla systemu Android skutecznie wykrywają i usuwają aplikacje zawierające wszystkie znane modyfikacje trojanów Android.Cynos, dzięki czemu nie stanowią zagrożenia dla naszych użytkowników.