Una campaña de malware a gran escala en la AppGallery de Huawei ha dado lugar a aproximadamente 9.300.000 instalaciones de troyanos de Android que se hacen pasar por más de 190 aplicaciones diferentes.
Dr.Web detecta el troyano como 'Android.Cynos.7.origin' y es una versión modificada del malware Cynos diseñada para recopilar datos confidenciales de los usuarios.
El descubrimiento y el informe provienen de investigadores de Dr. Web AV, quienes notificaron a Huawei y los ayudaron a eliminar las aplicaciones identificadas de su tienda.
Sin embargo, aquellos que instalaron las aplicaciones en sus dispositivos aún tendrán que eliminarlas de sus dispositivos Android manualmente.
Troyano disfrazado de aplicaciones de juegos
Los actores de amenazas escondieron su malware en aplicaciones de Android que pretendían ser simuladores, plataformas, salas de juego, estrategia RTS y juegos de disparos para usuarios de habla rusa, chinos o internacionales (inglés).
Como todos ofrecían la funcionalidad anunciada, era poco probable que los usuarios las eliminaran si disfrutaban del juego.
La lista de aplicaciones de malware Cynos es demasiado extensa para compartirla aquí, pero a continuación se enumeran algunos ejemplos notables que se destacan por tener una gran cantidad de instalaciones:
- 快点 躲 起来 (Date prisa y escóndete) - 2,000,000
- Aventuras de gatos - 427,000
- Simulador de escuela de manejo - 142,000
Fuente: Dr. Web
Dado que no es práctico comparar su lista de aplicaciones instaladas con la lista completa de 190 aplicaciones maliciosas , la solución más sencilla sería ejecutar una herramienta AV que pueda detectar los troyanos Cynos y sus variantes.
Potente malware
La funcionalidad de esta variante del troyano Cynos puede realizar varias actividades maliciosas, incluido el espionaje de textos SMS y la descarga e instalación de otras cargas útiles.
"El Android.Cynos.7.origin es una de las modificaciones del módulo del programa Cynos. Este módulo se puede integrar en las aplicaciones de Android para monetizarlas. Esta plataforma se conoce desde al menos 2014", explicaron los analistas de malware Doctor Web en su informe .
"Algunas de sus versiones tienen una funcionalidad bastante agresiva: envían SMS premium, interceptan los SMS entrantes, descargan y lanzan módulos adicionales y descargan e instalan otras aplicaciones".
"La principal funcionalidad de la versión descubierta por nuestros analistas de malware es recopilar la información sobre los usuarios y sus dispositivos y mostrar anuncios".
La naturaleza agresiva del troyano se hace evidente desde la fase de instalación cuando solicita permiso para realizar actividades que generalmente no están asociadas con un juego, como hacer llamadas telefónicas o detectar la ubicación de los usuarios.
Fuente: Dr. Web
Si el usuario concede las solicitudes de permiso, el malware puede filtrar los siguientes datos a un servidor remoto:
- Número de teléfono móvil del usuario
- Ubicación del dispositivo según las coordenadas GPS o la red móvil y los datos del punto de acceso Wi-Fi
- Varios parámetros de la red móvil, como el código de red y el código de país móvil; también, ID de celda GSM y código de área de ubicación GSM internacional
- Varias especificaciones técnicas del dispositivo.
- Varios parámetros de los metadatos de la aplicación troyanizada
Además de lo anterior, los troyanos Cynos pueden descargar e instalar módulos o aplicaciones adicionales, enviar SMS de servicio premium e interceptar los SMS entrantes.
Como tal, estas aplicaciones pueden generar cargos inesperados por suscribirse a servicios premium, y también pueden eliminar cargas útiles de software espía aún más sigilosas.
Actualización 24 de noviembre: un portavoz de Huawei ha compartido el siguiente comentario con Bleeping Computer:
"El sistema de seguridad integrado de AppGallery identificó rápidamente el riesgo potencial dentro de estas aplicaciones. Ahora estamos trabajando activamente con los desarrolladores afectados para solucionar los problemas de sus aplicaciones. Una vez que podamos confirmar que las aplicaciones están claras, se volverán a incluir en AppGallery para que los consumidores puede volver a descargar sus aplicaciones favoritas y seguir disfrutándolas.
Proteger la seguridad de la red y la privacidad del usuario es la prioridad de Huawei. Agradecemos toda supervisión y comentarios de terceros para garantizar que cumplimos con este compromiso. Continuaremos colaborando estrechamente con nuestros socios y, al mismo tiempo, emplearemos las tecnologías más avanzadas e innovadoras para salvaguardar la privacidad de nuestros usuarios ".
Fuente: https://www.bleepingcomputer.com/
No olvides Compartir...
Siguenos en twitter: @disoftin - @fredyavila - @PaolaMRincon
0 Comentarios