Более девяти миллионов устройств Android пострадали от вредоносного ПО в Huawei AppGallery

Аналитики вредоносного ПО из антивирусной компании Doctor Web обнаружили десятки игр с новым классом вредоносного ПО в каталоге Huawei AppGallery, которое предназначено для сбора мобильных номеров пользователей.

По меньшей мере 9,3 миллиона владельцев устройств Android установили эти опасные игры.

Согласно аналитикам, троян, классифицированный как “Android.Cynos.7.origin”, является одной из модификаций модуля программы Cynos. Этот троян был найден в 190 играх на AppGallery, таких как симуляторы, платформеры, аркады, стратегии и шутеры.

Хотя некоторые из этих игр нацелены на русскоязычных пользователей с русской локализацией, названиями и описаниями, другие нацелены на китайских или международных пользователей.

“Этот модуль может быть интегрирован в приложения Android для их монетизации. Эта платформа известна как минимум с 2014 года. Некоторые из ее версий имеют довольно агрессивную функциональность: они отправляют платные SMS, перехватывают входящие SMS, загружают и запускают дополнительные модули, а также загружают и устанавливают другие приложения,” - говорится в отчете.

Приложения, содержащие Android.Cynos.7.origin, запрашивают у пользователей разрешение на совершение и управление телефонными звонками, что позволяет трояну получить доступ к определенным данным.

Когда пользователь предоставляет разрешение, троян собирает и отправляет следующую информацию на удаленный сервер:

• Мобильный номер пользователя

• Местоположение устройства на основе GPS-координат или данных мобильной сети и точки доступа Wi-Fi (когда приложение имеет разрешение на доступ к местоположению)

• Различные параметры мобильной сети, такие как код сети и код страны; также GSM-идентификатор ячейки и международный код зоны GSM (когда приложение имеет разрешение на доступ к местоположению)

• Различные технические характеристики устройства

• Различные параметры из метаданных троянского приложения

На первый взгляд, давайте посмотрим на примеры игр ниже, в которые встроен этот троян и которые имеют большое количество установок:

Поторопитесь и спрячьтесь – 2,000,000 установок

Кошачья игровая комната – 427,000 установок

Симулятор автошколы – 142,000 установок

“На первый взгляд, утечка мобильного номера может показаться незначительной проблемой. Однако на самом деле это может серьезно навредить пользователям, особенно учитывая тот факт, что дети являются основной целевой аудиторией игр,” - добавил отчет.

“Даже если мобильный номер зарегистрирован на взрослого, загрузка детской игры может с высокой вероятностью указывать на то, что именно ребенок использует мобильный телефон. Очень сомнительно, что родители захотят, чтобы вышеуказанные данные о телефоне передавались не только на неизвестные зарубежные серверы, но и кому-либо еще в целом.”

Обнаружив угрозы, Doctor Web уведомила компанию Huawei об этом. Все приложения, содержащие троян, теперь удалены из AppGallery. Однако пользователям, установившим приложения на свои устройства Android, все равно придется удалить их вручную, чтобы предотвратить дальнейшее злоупотребление.

“Встроенная система безопасности AppGallery быстро выявила потенциальный риск в этих приложениях. Мы сейчас активно работаем с пострадавшими разработчиками, чтобы устранить проблемы в их приложениях. Как только мы сможем подтвердить, что приложения безопасны, они будут повторно размещены в AppGallery, чтобы потребители могли снова загружать свои любимые приложения и продолжать ими пользоваться,” - сказал представитель Huawei изданию Bleeping Computer.

“Защита сетевой безопасности и конфиденциальности пользователей является приоритетом Huawei. Мы приветствуем любой сторонний контроль и отзывы, чтобы гарантировать выполнение этого обязательства. Мы будем продолжать тесное сотрудничество с нашими партнерами и в то же время использовать самые современные и инновационные технологии для защиты конфиденциальности наших пользователей.”