23. November 2021
Android.Cynos.7.origin ist eine Modifikation des Softwaremoduls Cynos, das in Android-Anwendungen integriert wird und der Monetisierung der Anwendungen dient. Das Modul ist seit 2014 bekannt. Einige Versionen des Moduls sind aggressiv: Sie können kostenpflichtige SMS-Nachrichten senden, eingehende SMS-Nachrichten abfangen, andere Softwaremodule laden und ausführen sowie verschiedene Apps herunterladen und installieren. Die Hauptfunktion der von unseren Analysten erkannten Modifikation ist die Sammlung von Informationen über Nutzer und deren Mobilgeräte sowie die Anzeige aufdringlicher Werbung.
Beim Start von mit dem Trojaner infizierten Apps versucht Android.Cynos.7.origin, die Berechtigung zur Verwaltung von Anrufen zu erhalten:
Nachdem sich der Trojaner diese Berechtigung verschaffen hat, sammelt er die notwendigen Informationen und leitet diese an den Remote-Server weiter. Folgende Informationen werden gesammelt:
- Handynummer des Nutzers
- Gerätestandort, der anhand von GPS-Koordinaten, Daten aus dem Mobilfunknetz oder WLAN-Hotspots bestimmt wird (sofern die Berechtigung zur Standortermittlung vorliegt)
- Parameter des Mobilfunknetzes, z.B. Mobilfunknetzkennzahl, Landesvorwahl sowie (sofern die Berechtigung zur Standortermittlung vorliegt) ID der Basisstation und internationale ID des Aufenthaltsbereichs (Location Area Identity)
- technische Parameter des Geräts
- Parameter der Metadaten der App, in die der Trojaner integriert ist
Auf den ersten Blick scheint der Diebstahl dieser Informationen unbedeutend, er kann jedoch schwerwiegende Folgen haben, besonders weil es sich bei der Zielgruppe der meisten Computerspiele um Kinder handelt.
Selbst wenn die Handynummer auf einen Erwachsenen registriert ist, deutet das Herunterladen eines Handyspiels für Kinder darauf hin, dass der Nutzer des Geräts höchstwahrscheinlich ein Kind ist. Kaum ein Elternteil würde wollen, dass diese Informationen über das Mobilgerät des Kindes auf ausländische Server übertragen werden oder in die Hände Dritter gelangen.
Der Trojaner Android.Cynos.7.origin, der Informationen über Mobilnummer der Nutzer sammelt, wurde in 190 Spielen in der AppGallery erkannt, darunter Simulationsspiele, Jump 'n' Run, Arcade-Spiele, Strategiespiele und Shooter. Insgesamt wurden die infizierten Spiele von mindestens 9.300.000 Nutzern heruntergeladen (die Gesamtanzahl der Installationen wurde anhand der in der AppGallery veröffentlichten Informationen über das Herunterladen jeder der Anwendungen berechnet). Einige der Spiele richten sich speziell an russische Nutzer – Lokalisierung, Titel und Beschreibung sind auf Russisch. Andere richten sich an chinesische oder internationale Zielgruppen. Nachfolgend finden Sie einige Beispiele für Spiele, die diesen Trojaner enthalten.
Das Spiel „Команда должна убить боеголовку“ wurde von mehr als 8000 Nutzern installiert.
Das Spiel „Cat game room“ wurde von mehr als 427.000 Nutzern installiert.
Das Spiel „Drive school simulator“ wurde von mehr als 142.000 Nutzern installiert.
Das Spiel 快点躲起来 wurde von mehr als 2.000.000 Nutzern installiert.
Doctor Web hat Huawei über die erkannten Bedrohungen informiert. Zum Zeitpunkt der Veröffentlichung dieser Nachricht wurden alle mit diesem Trojaner infizierten Apps aus der AppGallery gelöscht.
Die Virenschutzprodukte Dr.Web für Android erkennen diese und andere bekannte Modifikationen des Trojaners Android.Cynos. Unsere Nutzer sind somit sicher vor diesen Bedrohungen geschützt.
Indikatoren der Kompromittierung
Mehr zu Android.Cynos.7.origin
Ihr Android-Gerät braucht einen Malwareschutz.
Nutzen Sie Dr.Web
- Eine der ersten Malwareschutz-Apps für Android weltweit
- Über 140 Mio Downloads – nur auf Google Play
- Kostenlos für Nutzer von Dr.Web Produkten für Heimanwender
Ihre Meinung ist uns wichtig!
Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.
Andere Kommentare