Rozsáhlá malwarová kampaň v AppGallery společnosti Huawei vedla k přibližně 9 300 000 instalacím trojských koní Android, které se maskují jako více než 190 různých aplikací.
Trojan je detekován jako ‘Android.Cynos.7.origin’ a jde o upravenou verzi malwaru Cynos navrženého ke shromažďování citlivých uživatelských dat.
Objev a zpráva pochází od výzkumníků z Dr. Web, kteří informovali Huawei a pomohli jim odstranit identifikované aplikace z jejich obchodu.
Ti, kteří si nainstalovali aplikace do svých zařízení, je však budou muset ze svých zařízení Android odstranit ručně.
Trojan maskovaný jako herní aplikace
Aktéři hrozeb skryli svůj malware v aplikacích pro Android a vydávali se za simulátory, plošinovky, arkády, RTS strategie a střílečky pro rusky mluvící, čínské nebo mezinárodní (anglické) uživatele.
Protože všechny nabízely inzerované funkce, uživatelé je pravděpodobně neodstraní, pokud se jim hra líbila.
Seznam malwarových aplikací je příliš rozsáhlý na to, abychom jej zde mohli sdílet, ale některé pozoruhodné příklady, které vynikají díky velkému počtu instalací, jsou uvedeny níže:
快点躲起来 (Hurry up and hide) – 2,000,000
Cat adventures – 427,000
Drive school simulator – 142,000
Protože je nepraktické porovnávat váš seznam nainstalovaných aplikací s úplným seznamem 190 škodlivých aplikací, jednodušším řešením by bylo spustit AV nástroj, který dokáže detekovat trojské koně Cynos a jejich varianty.
Výkonný malware
Funkce této varianty trojského koně Cynos může provádět různé škodlivé aktivity, včetně špehování textů SMS a stahování a instalace dalších datových částí.
“Android.Cynos.7.origin je jednou z modifikací modulu programu Cynos. Tento modul lze integrovat do aplikací pro Android a zpeněžit je. Tato platforma je známá minimálně od roku 2014,” vysvětlili analytici malwaru Doctor Web ve své zprávě.
“Některé z jeho verzí mají poměrně agresivní funkce: posílají prémiové SMS, zachycují příchozí SMS, stahují a spouštějí extra moduly a stahují a instalují další aplikace.”
“Hlavní funkcí verze, kterou objevili naši analytici malwaru, je shromažďování informací o uživatelích a jejich zařízeních a zobrazování reklam.”
Agresivní povaha trojského koně se projeví již ve fázi instalace, když požádá o povolení k provádění činností, které nejsou obecně spojeny s hrou, jako je telefonování nebo zjišťování polohy uživatelů.
Pokud uživatel udělí povolení, malware může exfiltrovat následující data na vzdálený server:
Číslo mobilního telefonu uživatele
Umístění zařízení na základě souřadnic GPS nebo dat mobilní sítě a přístupového bodu Wi-Fi
Různé parametry mobilní sítě, jako je kód sítě a kód mobilní země; také GSM cell ID a mezinárodní předvolbu GSM polohy
Různé technické specifikace zařízení
Různé parametry z metadat trojanizované aplikace
Kromě výše uvedeného mohou trojské koně Cynos potenciálně stahovat a instalovat další moduly nebo aplikace, odesílat prémiové servisní SMS a zachycovat příchozí SMS.
Jako takové mohou tyto aplikace vést k neočekávaným poplatkům z předplatného prémiových služeb.
Zdroj: bleepingcomputer.com
@RadekVyskovsky
Zdroj: IT SECURITY NETWORK NEWS
