Devět milionů telefonů s operačním systémem Android bylo infikováno novým malwarem

Minimálně 9,3 milionu zařízení se systémem Android bylo infikováno novým typem malwaru. Ten se v aplikaci AppGallery společnosti Huawei maskuje jako desítky arkádových her, stříleček a strategií. Po nainstalování začne krást informace o zařízení a čísla mobilních telefonů obětí.

Trojský kůň s názvem Android.Cynos.7.origin byl nalezen výzkumníky společnosti Dr. Web AV, kteří informovali společnost Huawei a pomohli jí odstranit identifikované aplikace z jejího obchodu. Ti, kteří si aplikace do svých zařízení nainstalovali, je však budou muset ještě odstranit ručně.

💥Doctor Web malware analysts discovered dozens of games on the AppGallery catalog that have an Android.Cynos.7.origin trojan built into them. At least 9.300.000 Android device owners have installed these dangerous games.https://t.co/27xo5wfxQL pic.twitter.com/YDkwe0378j
— Doctor Web (@DrWeb_antivirus) November 23, 2021

Jedná se o upravenou verzi malwaru Cynos určenou ke shromažďování citlivých uživatelských dat. Po instalaci žádaly aplikace o povolení k uskutečňování a správě telefonních hovorů. Tento přístup potom využili k získání následujících dat:

Telefonní číslo
Poloha zařízení na základě souřadnic GPS nebo údajů o mobilní síti a přístupovém bodu Wi-Fi (pokud má aplikace oprávnění k přístupu k poloze).
Různé parametry mobilní sítě, jako je kód sítě a kód země mobilní sítě
Technické specifikace zařízení
Různé parametry z metadat

„Na první pohled se může zdát, že únik telefonního čísla není zas takový problém. Ve skutečnosti však může uživatele vážně poškodit, zejména vzhledem k tomu, že hlavní cílovou skupinou těchto her jsou děti,“ uvedli výzkumníci z Doctor Web.

Over nine million Android devices infected by info-stealing trojan – @billtoulas https://t.co/6Y7eqUZEvz
— BleepingComputer (@BleepinComputer) November 23, 2021

Krádež informací není ale všechno, co malware umí

„Android.Cynos.7.origin je jednou z modifikací programového modulu Cynos. Tento modul lze integrovat do aplikací pro systém Android a zpeněžit je pomocí reklam. Tato platforma je známá přinejmenším od roku 2014,“ vysvětlují ve své zprávě analytici malwaru Doctor Web.

„Některé její verze mají poměrně agresivní funkce: odesílají prémiové SMS, zachycují příchozí SMS, stahují a spouštějí další moduly a stahují a instalují další škodlivé aplikace.“

Over 9 million #Android devices are infected with a new class of information-stealing #malware disguised as dozens of arcade, shooter and strategy games, distributed through #Huawei's AppGallery marketplace.

Read: https://t.co/BUR9lv9Y2K #infosec #cybersecurity #privacy
— The Hacker News (@TheHackersNews) November 24, 2021

Z celkového počtu 190 identifikovaných her s tímto trojským koněm byly některé určeny pro rusky mluvící uživatele, zatímco jiné byly zaměřeny na čínské nebo mezinárodní publikum. Malware byl ukryt v simulátorech, plošinovkách, arkád, strategiích RTS a střílečkách.

Seznam všech infikovaných aplikací je příliš rozsáhlý na to, abychom je tu všechny vypsali. Ale některé pozoruhodné příklady, které vynikají velkým počtem instalací, jsou uvedeny níže:

快点躲起来 (Pospěš si a schovej se) – 2 000 000
Kočičí dobrodružství – 427 000
Simulátor autoškoly – 142 000