Ein neuer Trojaner namens Android.Cynos.7.origin, der die Gerätedaten und Telefonnummern von Android-Nutzern sammelt, wurde in 190 Spielen gefunden, die auf über 9 Millionen Android-Geräten installiert sind.
Warum sollte ein Spiel über das „niedliche Tagebuch“ einer Katze die Erlaubnis benötigen, Telefonanrufe zu tätigen oder Ihren Standort ausfindig zu machen?
Das tut es nicht: „Cat cute diary“ ist eines von 190 trojanisierten Spielen, die die Malware-Analysten von Doctor Web auf AppGallery, dem offiziellen App-Store für Huawei Android, gefunden haben.
Sie überschwemmen die Android-Landschaft. In einem am Dienstag veröffentlichten Bericht schätzt Doctor Web, dass mehr als 9.300.000 Besitzer von Android-Geräten die gefährlichen Spiele installiert haben.
Den Forschern zufolge besteht der Hauptzweck der zahlreichen mit Malware verseuchten Apps – zu denen zahlreiche kinderfreundliche Anwendungen wie Spiele, Simulatoren, Jump’n’Run-Spiele, Arcadespiele, Strategiespiele und Shooter gehören – nicht darin, die Lust der Nutzer auf süße Kätzchen und böse Jungs zu befriedigen.
Vielmehr sind sie mit einem neuen Android-Trojaner ausgestattet, der von den Analysten als Android.Cynos.7.origin identifiziert wurde und dessen Hauptzweck darin besteht, die Telefonnummern und Gerätedaten der Nutzer auszuspionieren und Geld zu verdienen, indem er die Daten für Werbeeinblendungen nutzt, so die Forscher.
Spiel und Spaß und Datenexfiltration
Doctor Web lieferte einige Beispiele für trojanerhaltige Spiele, von denen einige auf russischsprachige Benutzer abzielen und russische Titel und Beschreibungen haben, während andere auf chinesische oder internationale Zielgruppen abzielen.
„Cat game room“ – 427.000+ Installationen. Quelle: Doctor Web.
Eines davon – das Spiel „快点躲起来“ – was laut Google Translator „Beeil dich und versteck dich“ auf Englisch bedeutet – wurde laut der Untersuchung über 2.000.000 Mal heruntergeladen.
Hier finden Sie die vollständige Liste der 190 Apps, die von den Forschern als bösartig eingestuft wurden.
Was die Apps mit diesen Berechtigungen tun
Laut Doctor Web ist der Trojaner Android.Cynos.7.origin eine der Modifikationen der Cynos-Malware-Plattform – ein Modul, das in Android-Apps integriert werden kann, um Geld aus Geräten herauszuquetschen. Malware-Analysten wissen seit mindestens 2014 über Cynos Bescheid, so die Analysten.
Wenn die bösartigen Apps heruntergeladen werden, bitten sie um die Erlaubnis, Telefonanrufe zu tätigen und zu verwalten, wie in der Bildschirmaufnahme unten gezeigt.
Der Trojaner fordert die Erlaubnis an, Telefonanrufe zu tätigen und zu verwalten. Quelle: Doctor Web.
„Das ermöglicht dem Trojaner den Zugriff auf bestimmte Daten“, erklären die Analysten. Nachdem ein Benutzer diese Berechtigungen erteilt hat, sammelt der Trojaner alle folgenden Informationen und überträgt sie an einen Remote-Server:
- Handynummer des Benutzers
- Standort des Geräts auf der Grundlage von GPS-Koordinaten oder Daten des Mobilfunknetzes und des Wi-Fi-Zugangspunkts (wenn die Anwendung die Erlaubnis zum Zugriff auf den Standort hat)
- Verschiedene Parameter des Mobilfunknetzes, wie z. B. der Netzcode und der Ländercode des Mobilfunknetzes; außerdem die GSM-Zellen-ID und der internationale GSM-Ortsgebietscode (wenn die Anwendung die Erlaubnis zum Zugriff auf den Standort hat)
- Verschiedene technische Daten des Geräts
- Verschiedene Parameter aus den Metadaten der trojanisierten App
- Einige seiner Versionen verfügen über recht aggressive Funktionen: Sie versenden Premium-SMS, fangen eingehende SMS ab, laden zusätzliche Module herunter und starten sie, laden andere Anwendungen herunter und installieren sie. Die Hauptfunktionalität der von unseren Malware-Analysten entdeckten Version ist das Sammeln von Informationen über Benutzer und ihre Geräte sowie die Display von Werbung.
Laut Doctor Web sind einige der Cynos-Versionen sogar noch aggressiver und gehen in den Bereich von Spyware oder mehr: „Sie versenden Premium-SMS, fangen eingehende SMS ab, laden zusätzliche Module herunter und starten sie, laden andere Apps herunter und installieren sie.“
Die 190 Apps, die die Analysten gefunden haben, sind jedoch hauptsächlich dazu gedacht, die oben genannte Liste von Informationen über Benutzer und ihre Geräte zu sammeln und Werbung anzuzeigen.
Die Analysten von Doctor Web warnen jedoch davor, diese Apps einfach abzutun. Diese Spiele sind für Kinder konzipiert, was sie sehr gefährlich macht: „Auf den ersten Blick mag ein Leck in der Handynummer ein unbedeutendes Problem sein. Doch in Wirklichkeit kann es den Nutzern ernsthaft schaden, vor allem, wenn man bedenkt, dass Kinder die Hauptzielgruppe dieser Spiele sind.
„Selbst wenn die Handynummer auf einen Erwachsenen registriert ist, kann das Herunterladen eines Kinderspiels mit hoher Wahrscheinlichkeit darauf hindeuten, dass das Kind derjenige ist, der das Spiel heruntergeladen hat. [is] das Mobiltelefon tatsächlich benutzt. Es ist sehr zweifelhaft, dass die Eltern wollen, dass die oben genannten Daten über das Telefon nicht nur an unbekannte ausländische Server, sondern generell an irgendjemanden übertragen werden.“
Huawei hat die bösen Apps aus dem Verkehr gezogen
Es ist nicht das erste Mal, dass die AppGallery von Huawei mit Malware infiziert ist. Im April berichtete Doctor Web, dass der App-Store mit Apps verseucht war, die den Joker-Trojaner enthielten: Apps, die von unwissenden Benutzern auf mehr als 538.000 Geräte heruntergeladen wurden.
Doctor Web informierte Huawei über die mit Cynos verseuchten bösartigen Apps in seiner Android-Galerie. Huawei hat sie daraufhin alle entfernt. Zum Zeitpunkt der Veröffentlichung dieses Artikels hatte das Unternehmen noch nicht auf die Anfrage von Threatpost nach einem Kommentar geantwortet, sandte aber diese Erklärung an BleepingComputer:
„Das integrierte Sicherheitssystem von AppGallery hat das potenzielle Risiko in diesen Anwendungen schnell erkannt. Wir arbeiten jetzt aktiv mit den betroffenen Entwicklern zusammen, um die Probleme ihrer Apps zu beheben. Sobald wir bestätigen können, dass die Apps unbedenklich sind, werden sie wieder in die AppGallery aufgenommen, so dass die Nutzer ihre Lieblingsapps wieder herunterladen und weiter nutzen können.
„Der Schutz der Netzwerksicherheit und der Privatsphäre der Nutzer hat für Huawei Priorität. Wir freuen uns über jede Aufsicht und jedes Feedback von Dritten, um sicherzustellen, dass wir dieser Verpflichtung nachkommen. Wir werden weiterhin eng mit unseren Partnern zusammenarbeiten und gleichzeitig die modernsten und innovativsten Technologien einsetzen, um die Privatsphäre unserer Nutzer zu schützen.“
Bildnachweis: MaxPixel.
Im Internet gibt es ein Meer von unstrukturierten Daten zu den neuesten Sicherheitsbedrohungen. Melden Sie sich noch HEUTE an, um die Schlüsselkonzepte der natürlichen Sprachverarbeitung (NLP) kennenzulernen und zu erfahren, wie man sich in diesem Datenmeer zurechtfindet und Cybersecurity-Bedrohungen einen Kontext verleiht (ohne ein Experte zu sein!). An dieser von Rapid7 gesponserten interaktiven LIVE Town Hall von Threatpost nehmen die Sicherheitsforscher Erick Galinkin von Rapid7 und Izzy Lazerson von IntSights (einem Unternehmen von Rapid7) sowie die Threatpost-Journalistin und Moderatorin des Webinars, Becky Bracken, teil.
Einige Teile dieses Artikels stammen aus:
threatpost.com
UK führt neue Cybersicherheitsgesetze für IoT-Geräte ein