I ricercatori di malware Doctor Web hanno scoperto 190 giochi nel catalogo di AppGallery in cui è integrato un trojan Android.Cynos.7.origin progettato per rubare informazioni e numeri di cellulare degli utenti. Queste app malevole sono state installate da almeno 9.300.000 proprietari di dispositivi Android.
L’Android.Cynos.7.origin è una delle modifiche del modulo di programma CYNOS, il quale può essere integrato nelle app Android per monetizzarle. La funzionalità principale della versione scoperta dagli analisti di Doctor Web è la raccolta di informazioni sugli utenti e i loro dispositivi e la visualizzazione di annunci.
Le app che contengono Android.Cynos.7.origin chiedono agli utenti il permesso di effettuare e gestire le telefonate il che consente al trojan di accedere a determinati dati. Una volta che l’utente concede l’autorizzazione, il trojan raccoglie e invia le seguenti informazioni a un server remoto:
- Numero di cellulare dell’utente
- Posizione del dispositivo in base alle coordinate GPS o alla rete mobile e ai dati del punto di accesso Wi-Fi (quando l’applicazione dispone dell’autorizzazione per accedere alla posizione)
- Vari parametri della rete mobile, come il codice di rete e il codice del paese mobile; inoltre, ID cella GSM e prefisso internazionale della posizione GSM (quando l’applicazione ha il permesso di accedere alla posizione)
- Varie specifiche tecniche del dispositivo
- Vari parametri dai metadati dell’app trojan.
I ricercatori hanno trovato questo trojan in 190 giochi su AppGallery, come simulatori, platform, arcade e strategie. Più di 9.300.000 utenti hanno scaricato questi giochi insieme. Alcuni di questi giochi si rivolgono agli utenti di lingua russa, altri a un pubblico cinese o internazionale.
“A prima vista, una perdita di numero di cellulare può sembrare un problema insignificante. Tuttavia, in realtà, può danneggiare gravemente gli utenti, soprattutto in considerazione del fatto che i bambini sono i principali destinatari dei giochi. Anche se il numero di cellulare è intestato a un adulto, è molto probabile che il download di un gioco per bambini indichi che è il bambino a utilizzare effettivamente il cellulare. È molto dubbio che i genitori vogliano che i dati di cui sopra sul telefono vengano trasferiti non solo a server stranieri sconosciuti, ma a chiunque altro in generale”, comunicano gli esperti di Doctor Web.
Doctor Web ha informato Huawei delle minacce scoperte e, al momento della pubblicazione, le app contenenti questo trojan sono state rimosse da AppGallery.