Oltre nove milioni di dispositivi Android colpiti da malware in Huawei AppGallery

Gli analisti di malware di una società antivirus, Doctor Web, hanno scoperto dozzine di giochi con una nuova classe di malware nel catalogo di Huawei AppGallery, progettata per raccogliere i numeri di telefono degli utenti.

Almeno 9,3 milioni di proprietari di dispositivi Android hanno installato questi giochi pericolosi.

Secondo gli analisti, il trojan classificato come “Android.Cynos.7.origin” è una delle modifiche del modulo del programma Cynos. Questo trojan è stato trovato in 190 giochi su AppGallery, come simulatori, platformer, arcade, strategie e sparatutto.

Mentre alcuni di questi giochi miravano a utenti di lingua russa con localizzazione, titoli e descrizioni in russo, altri miravano a utenti cinesi o internazionali.

“Questo modulo può essere integrato nelle app Android per monetizzarle. Questa piattaforma è conosciuta almeno dal 2014. Alcune delle sue versioni hanno funzionalità piuttosto aggressive: inviano SMS premium, intercettano SMS in arrivo, scaricano e avviano moduli aggiuntivi e scaricano e installano altre app,” afferma il rapporto.

Le app che contengono l’Android.Cynos.7.origin chiedono agli utenti il permesso di effettuare e gestire chiamate telefoniche, il che consente al trojan di accedere a determinati dati.

Quando l’utente concede il permesso, il trojan raccoglie e invia le seguenti informazioni a un server remoto:

• Numero di telefono mobile dell’utente

• Posizione del dispositivo basata su coordinate GPS o dati della rete mobile e punto di accesso Wi-Fi (quando l’applicazione ha il permesso di accedere alla posizione)

• Vari parametri della rete mobile, come il codice di rete e il codice del paese mobile; inoltre, ID della cella GSM e codice dell’area di localizzazione GSM internazionale (quando l’applicazione ha il permesso di accedere alla posizione)

• Vari specifiche tecniche del dispositivo

• Vari parametri dai metadati dell’app trojanizzata

A colpo d’occhio, diamo un’occhiata agli esempi di giochi qui sotto in cui questo Trojan è incorporato e ha un gran numero di installazioni:

Affrettati e nasconditi – 2.000.000 installazioni

Stanza giochi per gatti – 427.000 installazioni

Simulatore di scuola di guida – 142.000 installazioni

“A prima vista, una fuga di numero di telefono mobile può sembrare un problema insignificante. Eppure, in realtà, può danneggiare seriamente gli utenti, specialmente considerando il fatto che i bambini sono il principale pubblico target dei giochi,” ha aggiunto il rapporto.

“Anche se il numero di telefono mobile è registrato a un adulto, scaricare un gioco per bambini può indicare molto probabilmente che il bambino è colui che sta effettivamente utilizzando il telefono mobile. È molto dubbio che i genitori vogliano che i dati sopra menzionati sul telefono vengano trasferiti non solo a server stranieri sconosciuti, ma a chiunque altro in generale.”

Identificando le minacce, Doctor Web ha informato la Huawei Company al riguardo. Tutte le applicazioni contenenti il trojan sono state ora rimosse da AppGallery. Tuttavia, gli utenti che hanno installato le app sui loro dispositivi Android dovranno comunque rimuoverle manualmente per prevenire ulteriori abusi.

“Il sistema di sicurezza integrato di AppGallery ha rapidamente identificato il potenziale rischio all’interno di queste app. Stiamo ora lavorando attivamente con gli sviluppatori interessati per risolvere i problemi delle loro app. Una volta che possiamo confermare che le app sono tutte a posto, verranno ripubblicate su AppGallery in modo che i consumatori possano scaricare di nuovo le loro app preferite e continuare a goderne,” ha dichiarato un portavoce di Huawei a Bleeping Computer.

“Proteggere la sicurezza della rete e la privacy degli utenti è la priorità di Huawei. Accogliamo con favore ogni supervisione e feedback di terze parti per garantire di mantenere questo impegno. Continueremo a collaborare strettamente con i nostri partner e, allo stesso tempo, ad utilizzare le tecnologie più avanzate e innovative per salvaguardare la privacy dei nostri utenti.