Más de 9 millones de dispositivos Android han sido infectados por un poderoso troyano

¿Por qué un juego sobre el “tierno diario de un gato” necesita permiso para hacer llamadas telefónicas o conocer tu ubicación?

No es necesario: “Cat cute diary” es uno de los 190 juegos con troyanos que los analistas de malware de Doctor Web han encontrado en AppGallery. AppGallery es la tienda oficial de aplicaciones para Android de Huawei.

Estas aplicaciones maliciosas están ensuciando el panorama de Android. En un informe publicado hace unos días, Doctor Web estimó que más de 9,300,000 propietarios de dispositivos Android han instalado juegos maliciosos. 

Según los investigadores, el objetivo principal de la gran cantidad de aplicaciones con malware,no es satisfacer la lujuria del  lindo gatito ni disparar a los malos. Estas aplicaciones tienen muchos aspectos llamativos para atraer a los niños. Por ejemplo, juegos, simuladores, plataformas, salas de juego, estrategias y juegos de disparos. 

Sin embargo, todas estas aplicaciones incluyen un nuevo troyano de Android que los investigadores han identificado como Android.Cynos.7.origin. El objetivo del troyano es capturar los números de teléfono de los usuarios y los datos del dispositivo y ganar dinero exprimiendo los datos al infligir anuncios. 

Diversión, juegos y exfiltración de datos

Doctor Web proporcionó algunos ejemplos de los juegos que contienen troyanos.  Algunos juegos están dirigidos a usuarios de habla rusa y tienen títulos y descripciones en ruso. Asimismo, otros juegos están dirigidos a audiencias chinas o internacionales.

Uno de ellos, el juego “快点 躲 起来”, que, según el traductor de Google, significa “Date prisa y escóndete”, se ha descargado más de 2,000,000 de veces, según la investigación.

Aquí está la lista completa de las 190 aplicaciones que los investigadores identificaron como maliciosas.

Qué hacen las aplicaciones con esos permisos

Doctor Web dijo que el troyano Android.Cynos.7.origin es una de las modificaciones de la plataforma de malware Cynos, un módulo que se puede integrar en las aplicaciones de Android para sacar dinero de los dispositivos. Los analistas de malware conocen a  Cynos desde al menos 2014. 

Cuando se descargan las aplicaciones maliciosas, solicitan permiso para realizar y administrar llamadas telefónicas, como se muestra en la captura de pantalla a continuación.

Eso le permite al troyano acceder a ciertos datos. Es decir, después de que un usuario otorga esos permisos, los troyanos recopilan y extraen toda la siguiente información a un servidor remoto:

• Número de teléfono móvil del usuario
• Ubicación del dispositivo según las coordenadas GPS o la red móvil y los datos del punto de acceso Wi-Fi (cuando la aplicación tiene permiso para acceder a la ubicación)
• Varios parámetros de la red móvil, como el código de red y el código de país móvil. También el ID de celda GSM y código de área de ubicación GSM internacional (cuando la aplicación tiene permiso para acceder a la ubicación)
• Varias especificaciones técnicas del dispositivo.
• Varios parámetros de los metadatos de la aplicación troyanizada
• Algunas de sus versiones tienen una funcionalidad bastante agresiva.

Versiones más agresivas

Según la programación, algunas de las versiones de Cynos son incluso más agresivas que se infiltran en el ámbito del spyware o más. Por ejemplo, pueden enviar SMSs premium, interceptar SMSs entrantes, descargar y ejecutar módulos adicionales. Además, descargar e instalar otras aplicaciones.

Sin embargo, las 190 aplicaciones que encontraron los investigadores están diseñadas principalmente para recopilar la lista de información mencionada anteriormente sobre los usuarios y sus dispositivos y para mostrar anuncios.

Aún así, no hay que confiarse, según advirtieron los analistas de Doctor Web. Estos juegos están diseñados para que los usen los niños, lo que los hace muy peligrosos.  A primera vista, la filtración de un número de teléfono móvil puede parecer un problema insignificante. Sin embargo, en realidad, puede dañar seriamente a los usuarios, especialmente dado que los niños son el principal público objetivo de los juegos.

Incluso si el número de teléfono móvil está registrado a nombre de un adulto, la descarga del juego para un niño puede indicar muy probablemente que el niño es el que realmente usa el teléfono móvil. Es muy dudoso que los padres deseen que los datos anteriores sobre el teléfono se transfieran no solo a servidores extranjeros desconocidos, sino a cualquier otra persona en general.

Huawei eliminó las aplicaciones maliciosas

Esta no es la primera vez que la AppGallery de Huawei se ha infectado con malware. En abril, Doctor Web informó que había encontrado la tienda de aplicaciones infestada de aplicaciones que contenían el troyano Joker. Esas aplicaciones fueron descargadas por usuarios involuntarios en más de 538,000 dispositivos.

Doctor Web notificó a Huawei sobre las aplicaciones maliciosas infestadas de Cynos en su tienda de aplicaciones de Android. Posteriormente, Huawei las eliminó a todas. La compañía emitió el siguiente comunicado en respuesta a la petición de la postura oficial sobre las revelaciones:

“El sistema de seguridad integrado de AppGallery identificó rápidamente el riesgo potencial dentro de estas aplicaciones. Ahora estamos trabajando activamente con los desarrolladores afectados para solucionar los problemas de sus aplicaciones. Una vez que podamos confirmar que las aplicaciones están limpias, se volverán a incluir en AppGallery para que los consumidores puedan descargar sus aplicaciones favoritas nuevamente y continuar disfrutándolas.

Proteger la seguridad de la red y la privacidad del usuario es la prioridad de Huawei. Agradecemos toda revisión y comentarios de terceros para garantizar que cumplimos con este compromiso. Continuaremos colaborando estrechamente con nuestros socios y, al mismo tiempo, emplearemos las tecnologías más avanzadas e innovadoras para salvaguardar la privacidad de nuestros usuarios”.