Android.Cynos.7.origin является одной из модификаций программного модуля Cynos, который предназначен для встраивания в Android-программы с целью их монетизации. Данная платформа известна как минимум с 2014 года. Некоторые ее версии имеют достаточно агрессивную функциональность: они отправляют СМС на платные номера и перехватывают входящие СМС-сообщения, загружают и запускают различные модули, а также скачивают и устанавливают другие приложения. В новой версии, которую обнаружили наши вирусные аналитики, основными функциями стали сбор сведений о пользователях и их мобильных устройствах, а также демонстрация рекламы.

Чтобы троян получил доступ к определенным данным, при запуске приложений c Android.Cynos.7.origin у пользователей запрашивается разрешение на управление телефонными звонками:

После того как разрешения получены, троян собирает и передает на удаленный сервер следующую информацию:

• номер мобильного телефона пользователя;
• местоположение устройства, которое определяется на основе GPS-координат или данных мобильной сети и точки доступа Wi-Fi (при наличии у приложения разрешения на доступ к определению местоположения);
• различные параметры мобильной сети, такие как код сети, мобильный код страны, а при наличии разрешений на доступ к местоположению - идентификатор базовой станции и международный идентификатор зоны местоположения;
• различные технические характеристики устройства;
• различные параметры из метаданных приложения, в которое встроен троян.

Утечка информации о мобильном номере, на первый взгляд, может показаться незначительной проблемой, однако в действительности это может привести к серьезным негативным последствиям для пользователей, особенно учитывая тот факт, что основной целевой аудиторией игр являются дети.

Даже если номер телефона числится за взрослым, факт скачивания детской игры может с большой вероятностью указывать на то, что телефоном пользуется на самом деле ребенок. Очень сомнительно, что вышеперечисленные данные о телефоне ребенка родители захотят передавать не то что на неизвестные зарубежные серверы, но вообще кому бы то ни было.

Собирающий номера телефонов троян Android.Cynos.7.origin был найден в 190 играх, размещенных в каталоге AppGallery. Среди них — различные симуляторы, платформеры, аркады, стратегии и шутеры с числом установок от нескольких тысяч до нескольких миллионов. В общей сложности их загрузили не менее 9 300 000 пользователей (число инсталляций посчитано на основании опубликованных в AppGallery значений загрузок по каждому приложению). Часть игр направлена на русскоязычную аудиторию — они имеют локализованные русскоязычные названия и описания. Другие предназначены для китайской или международной аудитории. Примеры игр, в которые встроен этот троян, представлены ниже.

Игра «Команда должна убить боеголовку» с числом установок свыше 8000:

Игра Cat game room с числом установок свыше 427 000:

Игра Drive school simulator c числом установок свыше 142 000:

Игра 快点躲起来 с числом установок более 2 000 000:

«Доктор Веб» оповестил о выявленных угрозах компанию Huawei. На момент публикации новости все приложения, содержавшие трояна, были из AppGallery удалены.

Антивирусные продукты Dr.Web для Android успешно обнаруживают и удаляют приложения со встроенными в них известными модификациями троянов Android.Cynos, поэтому для наших пользователей они опасности не представляют.

Индикаторы компрометации