Cynos Android Malware

Cynos Android Malware Beskrivning

En massiv attackkampanj med ett trojanskt hot från Android infostealer har lyckats infektera över 9,3 miljoner Android-enheter. Efter analys av ett ryskt säkerhetsföretag har trojanen klassificerats som en modifierad variant av Cynos Android Malware. Angriparna lyckades bryta mot Huaweis AppGallery och sprida deras hot via mer än 190 beväpnade applikationer.

Infekterad spelapplikationer

Appenlications som bar trojanens bibliotek var mestadels Android-spel från en mängd olika genrer - simulatorer, arkadspel, plattformsspel, RTS och skjutspel. Ett annat bevis på attackens omfattning är det faktum att hotaktören riktade sig mot kinesiska, engelska och rysktalande användare.

Det fanns inga större röda flaggor som kunde tipsa användare om att något skändligt pågår. Den beväpnade appenlications begärde behörigheter som vanligtvis inte krävs av mobilspel, som att ringa telefonsamtal eller ha tillgång till enhetens geolokalisering. Appenlications var fullt funktionella och matchade deras annonserade funktioner så att användarna kanske inte hade en anledning att ta bort dem manuellt. Den mest nedladdade av de trojaniserade apparna är 快点躲起来 (Skynda dig och göm), som nådde cirka 2 miljoner nedladdningar. Nästa var Cat Adventure med över 420 000 nedladdningar och Drive school-simulator med nära 150 000 nedladdningar.

Hotande förmågor

När den väl är fullt utplacerad på offrets enhet kommer Cynos Android-skadlig programvara att börja samla in känslig information, samtidigt som den genererar och visar sponsrade annonser. Den insamlade informationen inkluderar telefonnummer, WiFi-nätverksdetaljer, enhets hårdvara och mjukvara, geolokaliseringsdata och mer.

Trojanen kunde också ha använts för att hämta, ladda ner och köra ytterligare hotfulla moduler eller apparlications på de brutna enheterna. Hotaktören kunde också ha använt skadlig programvara för Cynos Android för att skicka premiumtjänst-SMS eller fånga upp känsliga data från inkommande SMS-meddelanden.

Huawei har uppgett att AppGallerys inbyggda system har identifierat den riskfyllda appenlikationer. Företaget arbetar nuaktivt med de berörda utvecklarna för att rensa och återlista deras applikationer i sin butik. Användare som redan har installerat en av de trojaniserade applikationerna måste rengöra sin telefon på egen hand, helst genom att använda en professionell säkerhetslösning.