23 novembre 2021

Gli analisti di virus dell'azienda Doctor Web hanno rilevato sullo store di app AppGallery decine di giochi con Android.Cynos.7.origin, un trojan incorporato che raccoglie informazioni sui numeri di cellulare degli utenti. I pericolosi giochi sono stati installati da almeno 9.300.000 proprietari di dispositivi Android.

Android.Cynos.7.origin è una delle varianti di un modulo software, Cynos, che è studiato per essere incorporato in programmi Android per la loro monetizzazione. Questa piattaforma è conosciuta almeno dal 2014. Alcune sue versioni hanno funzionalità abbastanza aggressive: inviano SMS a numeri premium e intercettano i messaggi SMS in arrivo, caricano ed eseguono vari moduli, nonché scaricano e installano altre applicazioni. Nella nuova versione, rilevata dai nostri analisti di virus, sono diventate le funzionalità principali la raccolta di informazioni sugli utenti e sui loro dispositivi mobili, nonché la visualizzazione di annunci pubblicitari.

Affinché il trojan possa accedere a determinati dati, all'avvio delle applicazioni con Android.Cynos.7.origin viene chiesta agli utenti l'autorizzazione di gestione delle chiamate:

Dopo l'ottenimento delle autorizzazioni, il trojan raccoglie e trasmette al server remoto le seguenti informazioni:

• numero di cellulare dell'utente;
• posizione del dispositivo che viene determinata in base alle coordinate GPS o ai dati della rete cellulare e del punto di accesso Wi-Fi (se l'applicazione ha l'autorizzazione di accesso alla localizzazione);
• diversi parametri della rete cellulare, come ad esempio, prefisso della rete, prefisso cellulare del paese, e in presenza di autorizzazioni di localizzazione — identificatore della stazione base e identificatore internazionale della zona di posizione;
• diverse caratteristiche tecniche del dispositivo;
• diversi parametri dai metadati dell'applicazione in cui è incorporato il trojan.
• A prima vista, la fuga di informazioni sul numero di cellulare può sembrare un problema poco importante, tuttavia, in realtà può portare a serie conseguenze negative per gli utenti, soprattutto considerando il fatto che il pubblico di destinazione dei giochi principale sono i bambini.

Anche se il numero di telefono è registrato a un adulto, il fatto di download di un gioco per bambini può indicare con grande probabilità che effettivamente il telefono viene utilizzato da un bambino. È molto dubbio che i genitori vorranno trasferire i dati sopraelencati sul telefono del bambino a server esteri sconosciuti o a chiunque.

Il trojan che raccoglie numeri di telefono Android.Cynos.7.origin è stato trovato in 190 giochi collocati sullo store di app AppGallery. Tra questi giochi ci sono simulatori, platform, arcade, strategie e sparatutto con un numero di installazioni da diverse migliaia a diversi milioni. In totale, sono stati scaricati da almeno 9.300.000 utenti (il numero di installazioni è calcolato in base ai valori di download per ciascun'applicazione pubblicati su AppGallery). Alcuni dei giochi sono rivolti a un pubblico di utenti di lingua russa — hanno titoli e descrizioni localizzati in russo. Altri sono destinati a un pubblico cinese o internazionale. Di seguito sono riportati esempi dei giochi in cui è incorporato il trojan.

Il gioco "Команда должна убить боеголовку" ("Squadra deve uccidere testata") con più di 8000 installazioni:

Il gioco "Cat game room" con più di 427.000 installazioni:

Il gioco "Drive school simulator" con più di 142.000 installazioni:

Il gioco 快点躲起来 con oltre 2.000.000 di installazioni:

Doctor Web ha segnalato le minacce rilevate all'azienda Huawei. Al momento della pubblicazione della notizia tutte le applicazioni contenenti il trojan sono state rimosse da AppGallery.

I prodotti antivirus Dr.Web per Android rilevano e rimuovono con successo le applicazioni in cui sono incorporate le varianti conosciute dei trojan Android.Cynos.7.origin, pertanto, esse non rappresentano un pericolo per i nostri utenti.

Indicatori di compromissione

Informazioni su Android.Cynos.7.origin

#Android, #software_malevolo, #trojan

Il tuo Android ha bisogno di protezione.

Utilizza Dr.Web

• Il primo antivirus russo per Android
• Oltre 140 milioni di download solo da Google Play
• Gratis per gli utenti dei prodotti Dr.Web per privati

Scarica gratis