Cynos Android Malware

En massiv angrebskampagne, der implementerer en Android infostealer trojansk trussel, har formået at inficere over 9,3 millioner Android-enheder. Efter analyse af et russisk sikkerhedsfirma er trojaneren blevet klassificeret som en modificeret variant af Cynos Android Malware. Det lykkedes angriberne at bryde Huaweis AppGallery og sprede deres trussel via mere end 190 våbenbaserede applikationer.

Inficeret spil-applikationer

App'enlications med trojanernes bibliotek var for det meste Android-spil fra en bred vifte af forskellige genrer - simulatorer, arkader, platformere, RTS og skydespil. Et andet bevis på angrebets omfang er det faktum, at trusselsaktøren var rettet mod kinesiske, engelsk- og russisktalende brugere.

Der var ikke nogen større røde flag, der kunne tippe brugerne om, at der foregår noget uhyggeligt. Den bevæbnede applications anmodede om tilladelser, der normalt ikke kræves af mobilspil, såsom at foretage telefonopkald eller have adgang til enhedens geoplacering. App'enlicationerne var fuldt funktionelle og matchede deres annoncerede funktioner, så brugerne har muligvis ikke haft en grund til at fjerne dem manuelt. Den mest downloadede af de trojanske apps er 快点躲起来 (Skynd dig og skjul), som nåede op på omkring 2 millioner downloads. Det næste var Cat adventure med over 420.000 downloads og køreskolesimulator med tæt på 150.000 downloads.

Truende egenskaber

Når den er fuldt implementeret på ofrets enhed, begynder Cynos Android-malwaren at høste følsomme oplysninger, mens den også genererer og viser sponsorerede annoncer. De indsamlede oplysninger omfatter telefonnumre, WiFi-netværksdetaljer, enhedshardware og softwaredetaljer, geolokationsdata og mere.

Trojaneren kunne også have været brugt til at hente, downloade og udføre yderligere truende moduler eller applikationer på de brudte enheder. Trusselsaktøren kunne også have brugt Cynos Android-malware til at sende premium-tjeneste-SMS eller opsnappe følsomme data fra indkommende SMS-beskeder.

Huawei har oplyst, at AppGallerys indbyggede system har identificeret den risikable applikationer. Virksomheden arbejder nuaktivt med de berørte udviklere for at rydde og genliste deres applikationer i deres butik. Brugere, der allerede har installeret en af de trojaniserede applikationer, skal selv rense deres telefon, helst ved at bruge en professionel sikkerhedsløsning.