Зараженные трояном приложения из AppGallery установили миллионы пользователей

24 ноябрь, 2021 - 15:55

Специалисты «Доктор Веб» обнаружили в каталоге Huawei AppGallery 190 игр со встроенным в них трояном Android.Cynos.7.origin, который собирает информацию о пользователях. Опасные игры установили, по меньшей мере, 9,3 млн. владельцев Android-устройств.

Android.Cynos.7.origin является модификацией программного модуля Cynos, который предназначен для встраивания в Android-программы с целью их монетизации. Данная платформа известна как минимум с 2014 г. Некоторые ее версии имеют достаточно агрессивную функциональность: они отправляют SMS на платные номера и перехватывают входящие SMS-сообщения, загружают и запускают различные модули, а также скачивают и устанавливают другие приложения. В обсуждаемой версии зловреда основными функциями стали сбор сведений о пользователях и их мобильных устройствах, а также демонстрация рекламы.

Зараженные трояном приложения из AppGallery установили миллионы пользователей

Чтобы троян получил доступ к необходимым данным, при запуске приложений c Android.Cynos.7.origin у пользователей запрашивается разрешение на управление телефонными звонками. После получения разрешения, троян собирает и передает на удаленный сервер следующую информацию: номер мобильного телефона пользователя; местоположение устройства, которое определяется на основе GPS-координат или данных мобильной сети и точки доступа Wi-Fi (при наличии у приложения разрешения на доступ к определению местоположения); различные параметры мобильной сети, такие как код сети, мобильный код страны, а при наличии разрешений на доступ к местоположению – идентификатор базовой станции и международный идентификатор зоны местоположения; различные технические характеристики устройства, а также параметры из метаданных приложения, в которое встроен троян.

Утечка информации о мобильном номере, на первый взгляд, может показаться незначительной проблемой. Однако в действительности это может привести к серьезным негативным последствиям для пользователей, особенно учитывая тот факт, что основной целевой аудиторией игр являются дети.

Собирающий номера телефонов троян Android.Cynos.7.origin был найден в 190 играх, размещенных в каталоге AppGallery. Среди них – различные симуляторы, платформеры, аркады, стратегии и шутеры с числом установок от нескольких тысяч до миллионов. В общей сложности их загрузили не менее 9,3 млн. пользователей (судя по доступному в каталоге количеству загрузок по каждому приложению). Часть игр направлена на русскоязычную аудиторию – они имеют локализованные русскоязычные названия и описания. Другие предназначены для китайской или международной аудитории.

Специалисты по кибербезопасности известили о выявленных угрозах компанию Huawei. На момент публикации новости все приложения, содержавшие трояна, были удалены из AppGallery.