[English]Der chinesische Smartphone-Hersteller Huawei hat 190 Android-Apps vorübergehend aus seinem App-Store entfernt. Der Grund: Der russische Sicherheitsanbieter Dr. Web war bei der Analyse von Apps im Huawei App-Store darauf gestoßen, dass diese Apps mit der Cynos-Android-Malware infiziert waren.
Anzeige
Dr. Web berichtet hier, dass seine Malware-Analysten im AppGallery-Katalog Dutzende von Spielen entdeckten, in die ein Android.Cynos.7.origin-Trojaner integriert ist. Dieser Trojaner wurde entwickelt, um die Handynummern der Nutzer zu sammeln. Mindestens 9.300.000 Besitzer von Android-Geräten haben diese Spiele mit integriertem Trojaner installiert.
Die Cynos-Malware
Android.Cynos.7.origin ist eine der Modifikationen des Cynos-Programmmoduls. Dieses Modul kann in Android-Apps integriert werden, um diese zu monetarisieren. Diese Cynos-Plattform ist seit mindestens 2014 bekannt. Einige Cynos-Versionen haben recht aggressive Funktionen: Sie versenden Premium-SMS, fangen eingehende SMS ab, laden zusätzliche Module herunter und starten sie, laden andere Apps herunter und installieren sie. Die Hauptfunktionalität der von unseren Malware-Analysten entdeckten Version ist das Sammeln von Informationen über Nutzer und ihre Geräte sowie die Anzeige von Werbung.
Cynos permissions, Source: Dr. Web
Die Apps, die den Android.Cynos.7.origin-Trojaner enthalten, fordern vom Benutzer um die Erlaubnis, Telefonanrufe zu tätigen und zu verwalten. Dadurch kann der Trojaner Zugang zu bestimmten Daten erhalten. Erteilt der Benutzer seine Zustimmung, sammelt der Trojaner die folgenden Informationen und sendet sie an einen Remote-Server:
Anzeige
- Handynummer des Benutzers
- Gerätestandort auf der Grundlage von GPS-Koordinaten oder der Daten des Mobilfunknetzes und des Wi-Fi-Zugangspunkts (wenn die Anwendung die Erlaubnis hat, auf den Standort zuzugreifen)
- Verschiedene Parameter des Mobilfunknetzes, wie z. B. die Netzvorwahl und die Landesvorwahl des Mobilfunknetzes; außerdem die GSM-Zellen-ID und die internationale GSM-Vorwahl (wenn die Anwendung die Erlaubnis hat, auf den Standort zuzugreifen)
- Verschiedene technische Daten des Geräts
- Verschiedene Parameter aus den Metadaten der trojanisierten Anwendung
Problem bei den abgefischten Mobilfunknummern ist, dass diese meist zu von Kindern genutzten Smartphones gehören, da diese die Spiele-Apps nutzen. Die Sicherheitsforscher haben Android.Cynos.7.origin in 190 Spielen im AppGallery-Store von Huawei gefunden, darunter Simulatoren, Plattformer, Arcadespiele, Strategien und Shooter. Mehr als 9.300.000 Nutzer haben diese Spiele zusammen heruntergeladen (die Anzahl der Installationen wird auf der Grundlage der Anzahl der Downloads berechnet, die in der AppGallery für jede App aufgeführt sind).
Einige dieser Spiele richten sich an russischsprachige Nutzer: Sie haben eine russische Lokalisierung, Titel und Beschreibungen. Andere richten sich an chinesische oder internationale Zielgruppen. Der Dr. Web-Artikel listet einige Spiele, die diesen Trojaner enthalten. (via)
Anzeige
Leider wird die Berechtigung um Telefonanrufe zu tätigen und zu verwalten von gar nicht so wenigen Apps angefordert. Ich meinte schonmal recherchiert zu haben das ein Mediaplayer das nutzt um den Ton während des Telefonats abzuschalten und danach wieder einzuschalten. Selbst die Google Play Store App will diese Berechtigung!
Mit einem Pi-Hole können die DNS-Anfragen geloggt werden. Gibt es eine Liste der Server, die von diesen Cynos-apps angefragt werden? Dann könnte jeder prüfen, ob sein Handy betroffen ist.
Dr. Web hat nichts veröffentlicht – ich habe deren Artikel ja verlinkt.