Cynos Android Malware

Een massale aanvalscampagne waarbij een Android Infostealer Trojan-dreiging werd ingezet, is erin geslaagd meer dan 9,3 miljoen Android-apparaten te infecteren. Na analyse door een Russisch beveiligingsbedrijf is de Trojan geclassificeerd als een aangepaste variant van de Cynos Android Malware. De aanvallers slaagden erin de AppGallery van Huawei te doorbreken en hun dreiging te verspreiden via meer dan 190 bewapende applicaties.

Geïnfecteerde game-applicenties

De appLicenties met de Trojaanse bibliotheek waren meestal Android-spellen uit een breed scala van verschillende genres - simulatoren, arcades, platformgames, RTS en schietspellen. Een ander bewijs van de enorme omvang van de aanval is het feit dat de dreigingsactor zich richtte op Chinese, Engels- en Russisch sprekende gebruikers.

Er waren geen grote rode vlaggen die gebruikers een tip konden geven dat er iets misdadigs aan de hand is. De bewapende appLicenties vroegen wel om toestemmingen die normaal gesproken niet vereist zijn voor mobiele games, zoals bellen of toegang hebben tot de geolocatie van het apparaat. De applicaties waren volledig functioneel en kwamen overeen met hun geadverteerde functies, zodat gebruikers mogelijk geen reden hadden om ze handmatig te verwijderen. De meest gedownloade van de Trojaanse apps is 快点躲起来 (Schiet op en verberg je), die ongeveer 2 miljoen downloads bereikte. Het volgende was Cat-avontuur met meer dan 420.000 downloads en een Drive School-simulator met bijna 150.000 downloads.

Dreigende mogelijkheden

Eenmaal volledig geïmplementeerd op het apparaat van het slachtoffer, begint de Cynos Android-malware met het verzamelen van gevoelige informatie, terwijl het ook gesponsorde advertenties genereert en weergeeft. De verzamelde informatie omvat telefoonnummers, WiFi-netwerkdetails, hardware- en softwaredetails van het apparaat, geolocatiegegevens en meer.

Het Trojaanse paard kan ook zijn gebruikt om extra bedreigende modules of apps op te halen, te downloaden en uit te voerenlicenties op de gehackte apparaten. De dreigingsactor had ook de Cynos Android-malware kunnen gebruiken om premium-service-sms te verzenden of gevoelige gegevens van inkomende sms-berichten te onderscheppen.

Huawei heeft verklaard dat het ingebouwde systeem van AppGallery de riskante app heeft geïdentificeerdlicenties. Het bedrijf werkt nuactief met de betrokken ontwikkelaars om hun applicaties te wissen en opnieuw in de winkel te plaatsen. Gebruikers die al een van de Trojaanse applicaties hebben geïnstalleerd, moeten hun telefoon zelf opschonen, bij voorkeur met behulp van een professionele beveiligingsoplossing.