Une campagne de malware à grande échelle sur l’AppGallery de Huawei a conduit à environ 9 300 000 installations de chevaux de Troie Android se faisant passer pour plus de 190 applications différentes.
Le cheval de Troie est détecté par Dr.Web sous le nom « Android.Cynos.7.origin » et est une version modifiée du malware Cynos conçu pour collecter des données utilisateur sensibles.
La découverte et le rapport proviennent de chercheurs de Dr. Web AV, qui ont informé Huawei et les ont aidés à supprimer les applications identifiées de leur magasin.
Cependant, ceux qui ont installé les applications sur leurs appareils devront toujours les supprimer manuellement de leurs appareils Android.
Cheval de Troie déguisé en applications de jeu
Les acteurs malveillants ont caché leurs logiciels malveillants dans des applications Android se faisant passer pour des simulateurs, des jeux de plateforme, des arcades, des stratégies RTS et des jeux de tir pour les utilisateurs russophones, chinois ou internationaux (anglais).
Comme ils offraient tous la fonctionnalité annoncée, il était peu probable que les utilisateurs les suppriment s’ils appréciaient le jeu.
La liste des applications malveillantes Cynos est trop longue pour être partagée ici, mais quelques exemples notables qui se démarquent en raison d’un grand nombre d’installations sont répertoriés ci-dessous :
- 快点躲起来 (Dépêchez-vous et cachez-vous) – 2 000 000
- Aventures de chat – 427 000
- Simulateur d’auto-école – 142 000
Source : Dr Web
Comme il n’est pas pratique de comparer votre liste d’applications installées à la liste complète de 190 applications malveillantes, la solution la plus simple serait d’exécuter un outil antivirus capable de détecter les chevaux de Troie Cynos et leurs variantes.
Puissant malware
La fonctionnalité de cette variante du cheval de Troie Cynos peut effectuer diverses activités malveillantes, notamment l’espionnage de textes SMS et le téléchargement et l’installation d’autres charges utiles.
« Android.Cynos.7.origin est l’une des modifications du module du programme Cynos. Ce module peut être intégré aux applications Android pour les monétiser. Cette plate-forme est connue depuis au moins 2014 », expliquent les analystes de Doctor Web en matière de logiciels malveillants dans leur rapport.
« Certaines de ses versions ont des fonctionnalités assez agressives : elles envoient des SMS premium, interceptent les SMS entrants, téléchargent et lancent des modules supplémentaires, et téléchargent et installent d’autres applications. »
« La principale fonctionnalité de la version découverte par nos analystes de logiciels malveillants consiste à collecter des informations sur les utilisateurs et leurs appareils et à afficher des publicités. »
La nature agressive du cheval de Troie devient apparente dès la phase d’installation lorsqu’il demande l’autorisation d’effectuer des activités qui ne sont généralement pas associées à un jeu, comme passer des appels téléphoniques ou détecter la localisation des utilisateurs.
Source : Dr Web
Si l’utilisateur accorde les demandes d’autorisation, le malware peut exfiltrer les données suivantes vers un serveur distant :
- Numéro de téléphone portable de l’utilisateur
- Localisation de l’appareil basée sur les coordonnées GPS ou le réseau mobile et les données du point d’accès Wi-Fi
- Divers paramètres de réseau mobile, tels que le code de réseau et le code de pays mobile ; également, ID de cellule GSM et indicatif régional de localisation GSM international
- Diverses caractéristiques techniques de l’appareil
- Divers paramètres des métadonnées de l’application cheval de Troie
En plus de ce qui précède, les chevaux de Troie Cynos peuvent potentiellement télécharger et installer des modules ou des applications supplémentaires, envoyer des SMS de service premium et intercepter les SMS entrants.
En tant que telles, ces applications peuvent entraîner des frais inattendus liés à l’abonnement à des services premium, et elles peuvent également supprimer des charges utiles de logiciels espions encore plus furtifs.