le 23 novembre 2021

Les analystes de Doctor Web ont trouvé des dizaines de jeux avec le cheval de Troie Android.Cynos.7.origin embarqué, dans le catalogue AppGallery. Ce Trojan collecte des informations sur les numéros mobiles des utilisateurs. Des jeux contaminés ont été installés par au moins 9,3 millions de propriétaires d'appareils Android.

Android.Cynos.7.origin est l'une des modifications du plugin Cynos, conçu pour être intégré dans des applications Android à des fins de monétisation. Ce plugin est connu depuis au moins 2014. Certaines de ses versions ont des fonctionnalités assez agressives : elles envoient des SMS à des numéros payants et interceptent les SMS entrants, téléchargent et lancent différents modules, elles téléchargent et installent également d'autres applications. Dans la nouvelle version, détectée par nos analystes, les principales fonctions sont la collecte d'informations sur les utilisateurs et leurs appareils mobiles, ainsi que l'affichage de publicités.

Pour que le cheval de Troie accède à certaines données, lors du lancement d'applications contenant Android.Cynos.7.origin, les utilisateurs sont invités à autoriser la gestion des appels téléphoniques :

Une fois les autorisations obtenues, le cheval de Troie collecte et transmet les informations suivantes au serveur distant :

• numéro de téléphone mobile de l'utilisateur,
• l'emplacement de l'appareil, qui est déterminé en fonction des coordonnées GPS ou des données d'un réseau mobile et d'un point d'accès Wi-Fi (si l'application est autorisée à accéder aux coordonnées GPS) ;
• divers paramètres du réseau mobile, tels que le code de réseau, le code mobile du pays, et en cas d'autorisation d'accéder aux coordonnées GPS, - l'identifiant de la station de base et l'identifiant international de la zone de localisation,
• diverses caractéristiques techniques de l'appareil,
• différents paramètres des métadonnées de l'application dans laquelle le Trojan est implanté.

Le Cheval de Troie qui collecte les numéros de téléphone, Android.Cynos.7.origin a été trouvé dans 190 jeux publiés dans le catalogue AppGallery. Parmi eux on a vu divers jeux de simulation, jeux de plateforme, arcades, stratégies et jeux de tir avec un nombre d'installations de plusieurs milliers à plusieurs millions. Au total, ils ont été téléchargés par au moins 9 300 000 utilisateurs (le nombre d'installations a été calculé en fonction du nombre de téléchargements pour chaque application publiée dans AppGallery). Certains des jeux sont destinés à un public russophone - ils ont des titres et des descriptions localisés en russe. D'autres s'adressent à un public chinois ou international. Des exemples de jeux dans lesquels ce cheval de Troie est intégré sont présentés ci-dessous.

Jeu « Команда должна убить боеголовку » (« L'équipe doit tuer la tête explosive " ) avec un nombre d'installations supérieur à 8000 :

Jeu Cat game avec plus de 427 000 installations :

Jeu Drive school avec plus de 142 000 installations :

Jeu 快点躲起来 avec plus de 2 000 000 d’installations :

Doctor Web a informé la société Huawei des menaces identifiées. Au moment de la publication de cette news, toutes les applications contenant le cheval de Troie ont été supprimées d'AppGallery.

Les produits antivirus Dr.Web pour Android détectent et éradiquent les applications avec des modifications connues de Trojan embarquées Android.Cynos.7.origin, qui ne représentent aucun danger pour nos utilisateurs.

Indicateurs de compromission

Plus d'info sur Android.Cynos.7.origin

#Android, #malware, #Trojan

Votre Android a besoin d'une protection.

Utilisez Dr.Web

• Premier antivirus russe pour Android
• Plus de 140 millions de téléchargements sur Google Play
• Gratuit pour les utilisateurs des produits Dr.Web pour les particuliers

Télécharger gratuitement