Malware ontdekt in honderden games uit de Huawei AppGallery

Naar schatting zijn bijna tien miljoen gebruikers getroffen door malware die is geïnstalleerd door games uit de Huawei AppGallery. De app-winkel van de Chinese fabrikant bevatte honderden spellen die malware installeerden op Android-smartphones

De malware werd ontdekt in een analyse die is uitgevoerd door onderzoekers van Doctor Web. De onderzoekers ontdekten dat de malware via spellen in de Huawei AppGallery wordt geïnstalleerd. Uit de analyse bleek dat in elk geval 9,3 miljoen Android-gebruikers de spellen hebben gedownload en geïnstalleerd.

Eenmaal geïnstalleerd vraagt de malware om toegang tot verschillende gegevens van de smartphone en stuurt deze door naar een externe server. De data bevat het telefoonnummer, GPS-locatie, netwerkgegevens en technische specificaties van het apparaat.

Het gaat om de Android.Cynos.7.origin-trojan en in elk geval 190 games in de AppGallery bevatten deze malware op het moment dat Doctor Web de analyse uitvoerde. Het gaat om verschillende soorten games, van puzzelgames tot aan shooters. Sommige games zijn specifiek gericht op Russische of Chinese gebruikers.

Doctor Web heeft voor zijn publicatie Huawei op de hoogte gesteld van de malware. De apps zijn inmiddels door Huawei verwijderd uit de AppGallery.

Door Robert Zomers

Redacteur

Feedback • 25-11-2021 18:38
58 • submitter: CyberJohn

25-11-2021 • 18:38

58

Submitter: CyberJohn

Lees meer

Google gaat binnenkort code van nieuwe sideloaded apps scannen op malware
Google gaat binnenkort code van nieuwe sideloaded apps scannen op malware Nieuws van 20 oktober 2023
Belgische defensie gaat 300 Huawei-wifihotspots vervangen door ander merk
Belgische defensie gaat 300 Huawei-wifihotspots vervangen door ander merk Nieuws van 1 juni 2022
Apps waaronder die van bol.com aangezien voor Android-malware - update 2
Apps waaronder die van bol.com aangezien voor Android-malware - update 2 Nieuws van 22 januari 2022
Interne e-mailadressen IKEA-medewerkers gebruikt voor verspreiden van malware
Interne e-mailadressen IKEA-medewerkers gebruikt voor verspreiden van malware Nieuws van 29 november 2021
Meer producten en artikelen
Networking en security Huawei

Reacties (58)

-Moderatie-faq
58
56
32
1
0
5
Wijzig sortering
Kiswum
25 november 2021 19:25
The apps that contain the Android.Cynos.7.origin ask users for permission to make and manage phone calls. That allows the trojan to gain access to certain data.
Als de games, telefoontjes moeten kunnen plegen, dan is het al een waarschuwing over de app. Het is vreemd dat zoiets nodig is bij een spel.

Hier zie je een complete lijst met de apps (die de trojan bevatten of die zijn getest, dat haal ik niet duidelijk uit het bericht):

https://github.com/Doctor...Android.Cynos/README.adoc
LucW2 @Kiswum26 november 2021 10:38
Zijn genoeg 'onwetenden' die zonder bij na te denken of uit goed vertrouwen de veel voorkomende acceptaties zonder te checken accepteren zonder besef te hebben, wat ze accepteren om maar snel de game te kunnen spelen uit hints van hun vriendengroep.
thijsjek 25 november 2021 18:45
Ik heb momenteel een P30 pro. Ik gebruik deze store totaal niet om deze exacte reden. Alleen play store en eventueel bij een hoge uitzondering sideloaden. Er zijn te veel stores en die kun je niet zo blindelings vertrouwen als de Playstore.

Dat zeggende hebbende, ik ben eigenlijk geen fanaat van een monopolie op een Playstore. Maar bij gebrek aan veilig alternatief hebben we weinig keuze.
kodak
@thijsjek25 november 2021 21:39
Het feit dat er in de AppGallery nu veel apps zijn ontdekt die malware hebben wil alleen niet zeggen dat je dus bij de PlayStore veiliger bent. Het probleem van veel malware hebben en verspreiden speelt daar net zo goed met miljoenen andere installaties:
https://www.zdnet.com/art...for-most-android-malware/
nieuws: Android-gebruikers melden dat in-app reclame ongevraagd weer-app inst...
nieuws: Google verwijdert negen apps uit Play Store die inloggegevens Faceboo...
En zolang geen van de stores duidelijkheid geven wat ze werkelijk doen om je te beschermen kun je dus ook niet zomaar stellen dat de ene store beter is dan de andere.
n4m3l355 @kodak26 november 2021 02:09
Dat de Playstore malware kan bevatten zoals je aangeeft is juist, er is wel een verschil met een handvol apps of in dit geval honderden apps die op hun beurt verantwoordelijk zijn voor bijna 10 miljoen besmettingen. Daarnaast zoals altijd met Huawei mag je je afvragen is dit een kwaadaardige third party zonder of met toestemming van Huawei? Huawei heeft wereldwijd een slechte naam wat betreft user privacy, niet zonder reden of zijn we op KPN vergeten?
RGAT @n4m3l35526 november 2021 03:31
Gelukkig heeft Google een goede naam wat betreft privacy :+
Weet niet echt welke ik minder vertrouw, degene die talloze keren over de scheef is gegaan (van wifi hackende Streetview auto's tot het internationale Prism programma) of degene die tot nu toe in de enterprise tak betrapt is op lakse standaarden omtrent beveiliging...
Eerlijk gezegd doet Huawei het ondanks alle aandacht dan bijzonder goed in vergelijking :')
Zegt niet zo heel veel over Huawei, meer over dat Google eigenlijk ook alleen nog maar naar Facebook kan wijzen om zichzelf ergens mee te vergelijken...
Finger @RGAT26 november 2021 09:01
Google verkoopt mijn "privacy" niet maar verkoopt reclame. Die spyware boeren verkopen je privacy plus het liefst als het kan je wachtwoord en inlog gegevens er bij.
Ik weet wel welke van de 2 ik liever heb. Op een gegeven moment liggen jou gegevens toch ergens, daar kom je niet onderuit tegenwoordig, dan heb ik ze het liefst bij de grote partijen met meer beveiliging zoals Apple, Google of Microsoft.

[Reactie gewijzigd door Finger op 29 juli 2024 23:01]

SED @n4m3l35526 november 2021 13:32
Huawei heeft wereldwijd een slechte naam wat betreft user privacy, niet zonder reden of zijn we op KPN vergeten?
Toch maar weer eens reageren.
Er is veel gesuggereerd over Huawei maar nog helemaal niets bewezen.
De kpn situatie waar jij naar verwijst is ook nog steeds in onderzoek. Weliswaar waren gegevens daar toegankelijk maar of ze ook daadwerkelijk gebruikt zijn is onbekend.
Het lijkt er te veel op dat het ontbreken van bewijs van het tegendeel hier misbruikt wordt als bewijs.
Puffino @kodak26 november 2021 16:23
Hoezeer je ook gelijk hebt, dat maakt dit geval niet minder ernstig. Dat eeuwige "what about-ism" leidt zo af.
kodak
@Puffino26 november 2021 16:33
Ten eerste heeft niemand in deze draad de bewering gedaan dat het minder ernstig is omdat er ergens anders ook problemen worden gevonden.
Ten tweede is het onderwerp dat iemand stelt om de redenen van malware dus maar van een andere store gebruikt te maken, waarbij de reactie is dat die niet zomaar veiliger is omdat daar het zelfde is gevonden.
Ik vraag me dus af waarom je zelf graag komt klagen over what about-ism als je stelt dat het zou afleiden.
SilverRST @thijsjek25 november 2021 20:44
Ik ben in hetzelfde boot als jij met mijn Mate 20X en P10. De enigste momenten waarbij ik AapGallery gebruik is enkel om de Thema's app te updaten en verder niets anders.
Vexxon @thijsjek25 november 2021 23:20
Misschien heb ik het mis maar het komt wat naïef over om te denken dat je veilig zit door alleen niet die store gebruiken.
Als een fabrikant dit soort dingen toestaat/doet denk je dat verder alles wel te vertrouwen is.
Ik zou bij voorbaat niets van een dergelijke fabrikant kopen.
dimdek @thijsjek25 november 2021 19:01
Mijn probleem met de PlayStore is dat de app waarschijnlijk geen malware bevatten, maar de aanbieder je de hele dag volgt, passwords, contactsen, agendagegevens, en appgebruik doorstuurt en alles wat je typt analyseert, daar een profiel van maakt en dat verkoopt. Ik weet eigenlijk niet wat erger is.
DamirB @dimdek25 november 2021 19:18
F-droid
dimdek @DamirB25 november 2021 20:04
Inderdaad, maar jammer dat de overheid hier geen apps publiceert die ook nog zonder GSF werken.
RoamingZombie @dimdek25 november 2021 19:27
Passwords, contacten, agendagegevens? Heb je daar een bewijs of artikel voor dat dat ondersteunt?
Cyb @RoamingZombie25 november 2021 19:41
"Contacten".... Enorm veel aps hebben toegang tot contacten. Of die contacten wel of niet door een app worden doorverkocht, heb jij verder weinig zicht op als je de contacten permissie eenmaal hebt gegeven. Daar is geen artikel voor nodig, dat is gewoon common sense en de dagelijkse praktijk in de data handel industrie.
Iedereen die domweg allerlei games en apps installeert, zou je daarom eigenlijk moeten verbieden om jou als contact op te nemen in hun contactenlijsten. Ze verpesten namelijk niet alleen hun eigen privacy, voor ook die van anderen.
RoamingZombie @Cyb25 november 2021 22:42
Ik zie waar ik dus permissie om geef. Contacten zie ik echt zelden voorbij komen in apps die ze niet nodig hebben.

Wachtwoorden worden zeker niet meegegeven en mijn agendas ook niet.

Dus wat Damirb zegt is lichtelijk overtrokken omdat hij insinueert dat 'alle' apps dit doen. Ik gebruik android sinds mijn eerste telefoon. Weet je hoe vaak ik last heb gehad van het feit dat sommige gegevens gedeeld worden? Nog nooit. En met mij zo'n beetje iedereen die ik ken
Cyb @RoamingZombie25 november 2021 23:14
Je kan zien wanneer een app permissie vraagt, maar je ziet niet wat er exact mee gebeurt. Je denkt misschien dat als je iets met iemand wilt delen, de app permissie vraagt, maar deze zou dan tegelijkertijd op de achtergrond ook heel je contactenlijst naar een server kunnen sturen. App makers weten dit uiteraard ook, en bepaalde makers zullen dit soort truukjes toepassen om hun acties te verbergen.

En zo zeldzaam is het helemaal niet: https://www.forbes.com/si...os-apps-request-globally/
Van de top 1500 apps in de VS, vraagt ongeveer 23% contact permissies, en zo'n 40% wilt op de achtergrond je locatie kunnen monitoren.
akooijman @Cyb26 november 2021 20:43
Als ik een app niet noodzakelijk acht, en deze vraagt onduidelijke permissies is dat een nogo.
Spelletjes zijn *nooit* noodzakelijk dus daar is de drempel erg hoog.
Toegang tot contacten, files, camera, microfoon alleen bij apps van 'onbrsproken' gedrag.
Zoals Whatsapp bijvoorbeeld 8)7
!GN!T!ON @RoamingZombie26 november 2021 10:33
Ik denk dat je nog behoorlijk zou schrikken als het echt mogelijk was geweest om te zien wat apps allemaal versturen. Wat Cyb hieronder ook al zegt, het permissie systeem en logging wat die apps met de gevraagde permissies doen in android is niet bepaald goed, het word langzaam beter, dat wel.

Veel last zal je ook niet ondervonden hebben, want in de meeste gevallen wordt de data doorgestuurd zonder dat je daar iets van merkt of bewust van bent. Beetje zelfde argument als 'ik heb geen virusscanner nodig want ik heb nog nooit een probleem gehad' om vervolgens een scan te doen en 2 virussen en een trojan te vinden.

[Reactie gewijzigd door !GN!T!ON op 29 juli 2024 23:01]

RoamingZombie @!GN!T!ON26 november 2021 11:33
Niet het zelfde argument. Ik heb geen virussen omdat ik weet wat ik doe. Ik heb geen problemen met Android omdat ik weet wat ik doe.

En nogmaals, die permissies worden helemaal niet vaak gevraagd. Dat is zwaar overdreven. Misschien dat jullie allemaal vage apps installeren maar zelden moet ik permissie geven voor mijn contacten en helemaal nooit voor wachtwoorden en agenda's.
SinergyX @RoamingZombie25 november 2021 20:27
Bijna elke app vraagt toegang tot zaken, 99% klikt blind 'accepteren' en gooit hun hele contactenlijst naar die app toe. Jij kan de beste zijn in 'jouw gegevens' veilig te houden, je hebt maar 1 persoon nodig die jou in contacten hebt staan (inclusief email) en het komt in de spamwereld terecht.
dimdek @RoamingZombie25 november 2021 20:08
Ik ben hier jaren geleden al op gewezen door een goede vriend die dat soort zaken onderzoekt. Overigens worden natuurlijk ook lokatiegegevens, wearable (health) gegevens meegenomen. Ze kunnen ook je microfoon en camera gebruiken als ze willen. Op NPO3 was daar ruim een jaar geleden een leuke reportage over.
Reinier 182 25 november 2021 22:32
In Playstore komt dit ook geregeld voor en het is niets bijzonders. Elke store heeft dit maar belangrijk is welke acties er ondernomen worden? Playstore heeft dit ook en de Amerikanen controleren ook alle data van Playstore. Die Playstore en Google werken voor defensie van Amerika. Een belangrijke persoon van Google is er gaan werken en niet zomaar? China is meer te vertrouwen dan Amerika. Wie controleert al het Europese data? Amerika.
Darth Malak 26 november 2021 07:22
En Dr Web is russisch... En de russen doen nooit iets op het gebied van malware en hacking.... uhmm.
Triblade_8472 25 november 2021 18:48
Hoe komt dit toch in die games? Zijn alle 190 spellen gemaakt door malafide ontwikkelaars? Als dat zo is, bizar. En zo niet, hoe dan?

Dit is nou de reden dat rechten altijd dicht horen te staan. Gezien apps en games niet automatisch in een store komen (voor zover ik het weet) zou je zeggen dat apps met bijv. GPS vereisten geweerd zouden moeten worden als het geen app of spel is die dit nodig heeft. (Navigatie en Pokemon GO heeft dit bijvoorbeeld natuurlijk wel nodig)
DigitalExorcist @Triblade_847225 november 2021 20:14
Hoe die zooi erin komt is 1 ding, maar waarom zou je in hemelsnaam een alternatieve Play Store gebruiken? Dan wéét je dit toch gewoon….??
jpsch @DigitalExorcist25 november 2021 20:42
Hoezo? Dit is gewoon de leverancier van je telefoon.
Niet een of andere vage website.
Fox Hound @jpsch25 november 2021 21:17
Dat maakt het eigenlijk nog erger. Apple en Google hebben best een punt dat sideloading en alternatieve stores malware een groter probleem kunnen maken.
Honytawk @Fox Hound26 november 2021 12:57
Ze zouden een punt hebben, als hun eigen stores geen malware zou verspreiden.
Flowmo @jpsch25 november 2021 21:34
Dat is in mijn ogen ook onderdeel van het probleem, fabrikanten die ook wel even een graantje mee willen pikken van store inkomsten en dan een halfbakken versie uitbrengen zonder dezelfde checks en eisen die Google en Apple wel hebben.
batjes
@DigitalExorcist25 november 2021 21:48
Ik gebruik met plezier F-Droid en niet belangrijke apps trek ik uit Aurora naar binnen.

Hoe minder ik die Play Store hoef te gebruiken hoe beter. Ik kan niet wachten tot Logius, de banken en authenticators/tokenapps ook eens gaan kijken naar F-Droid bv (ik ga zulke apps alleen downloaden van de platformen waar ze die zelf op aanbieden -.-)
scholtnp @batjes25 november 2021 22:16
De authenticatie-app IRMA staat er al op. Dat is een applicatie van de privacy by design foundation van de Nijmeegse professor Bart Jacobs.
sjhgvr @DigitalExorcist25 november 2021 22:42
Research Shows Google Play Store Is The Main Source of Malware On Millions of Android Phones:
https://www.digitalinform...google-play-store-is.html

[Reactie gewijzigd door sjhgvr op 29 juli 2024 23:01]

DigitalExorcist @sjhgvr25 november 2021 23:54
Precies, die hebben het al lastig zat, dan hoef je niet nog eens talloze vage bootlegs ernáást te hebben die wemelen van de malware.
RockmanX @DigitalExorcist25 november 2021 21:03
Het gebeurd met enige regelmaat; ook in de originele store. zie dit artikel van Wired: HIER dan zie je dus dat de Playstore flink misbruikt wordt.
Unsocial Pixel @Triblade_847225 november 2021 18:52
Hoeveel apps hebben ze gecheckt, hoeveel apps staan er in deze betreffende playstore?
Zonder meer details kan ik niet meer zeggen dat het vervelend is maar dat het waarschijnlijk op anderen plekken mogelijk hetzelfde is.
dave1995 @Triblade_847226 november 2021 08:53
Dit is 1 van de redenen waarom ik een Apple heb na jaren Android. Liever een gesloten eco systeem dan dit…
bcome 25 november 2021 18:41
Leuk hoe het hier malware wordt genoemd maar in het geval van de Facebook app is het een feature :+
Edit: of een app die de Facebook SDK gebruikt: https://www.theverge.com/...developer-tools-violation

[Reactie gewijzigd door bcome op 29 juli 2024 23:01]

Triblade_8472 @bcome25 november 2021 18:44
In het geval van Facebook ben je zelf zo stom om dat te accorderen, staat 'duidelijk' in de voorwaarden. En iedereen weet het als ze FB gebruiken, dat is nog het ergste.

En ja, ik snap je sarcasme, ben het met je eens.
dimdek @Triblade_847225 november 2021 19:05
Maar de sociale druk om WhatsApp te gebruiken is groot. Ik weiger, maar dat levert vaak problemen op. Gek genoeg wordt er zelfs gratis publiek door onze overheid reclame voor gemaakt 'Attentie buurtpreventie WhatsApp'. De meeste mensen denken dat alles in orde is als de overheid het stimuleert.
Spykie @dimdek25 november 2021 19:43
door de overheid? WABP heeft echt niets met de overheid te maken.
MyrddinLXXIIX @Spykie25 november 2021 20:13
Ja, die bordjes groeien vanzelf.
PL3X4N @MyrddinLXXIIX25 november 2021 20:23
Technisch gezien, ja. Wabp is een stichting los van overheid. De bordjes/stickers kan je op hun site bestellen.
Kastermaster @PL3X4N25 november 2021 20:30
Die bordjes mag je bij mijn weten niet plaatsen zonder dat de overheid dat toestaat. Je mag niets bevestigen aan lantaarnpalen en/of verkeersborden.
Spykie @Kastermaster26 november 2021 11:44
Prima, maar er wordt dus niet 'door onze overheid gratis reclame voor gemaakt'.
Kastermaster @Spykie26 november 2021 12:10
Het wordt wel gefaciliteerd in het openbaar domein. Dat vind ik kwalijk. Ik ben benieuwd wat er gebeurt als ik er een bordje van Telegram onder hang.. :+
Spykie @MyrddinLXXIIX26 november 2021 11:45
Klopt, die worden dan ook door mensen in een bepaalde wijk zelf besteld bij een stichting die helemaal niets met de overheid te maken heeft.
bcome @Triblade_847225 november 2021 18:45
Nog even een edit voor m'n post omdat het in de realiteit nog iets erger is helaas.
Raven_X3 25 november 2021 23:28
Honderden games.. dan ga ik denken aan minimaal 200... 190 is zeker nog veel. Vreemd dat dit nog niet eerder is gevonden. Wel weer jammer voor Huawei, wederom in slecht daglicht.
prutser001 26 november 2021 11:01
Ik vind Huawei toch al irritant, elke keer meldingen dat je hun zooi moet installeren, adds in de menu's etc. En in mijn geval een verkeerd gepolariseerd scherm.... Nee hoor geef mij maar OnePlus.
Martijn100 27 november 2021 19:50
Kom op zeg. het is Chinees. Wat had je anders verwacht?
Polderviking 25 november 2021 18:46
Eenmaal geïnstalleerd vraagt de malware om toegang tot verschillende gegevens van de smartphone en stuurt deze door naar een externe server. De data bevat het telefoonnummer, GPS-locatie, netwerkgegevens en technische specificaties van het apparaat.
Milde trojan dan.
Modus operandi voor Google en co dit.

Hoe krijg je trouwens dezelfde trojan in 190 games. Niet allemaal zelfde ontwikkelaar neem ik aan?

[Reactie gewijzigd door Polderviking op 29 juli 2024 23:01]

Bor Coördinator Frontpage Admins / FP Powermod @Polderviking25 november 2021 20:19
Hoe krijg je trouwens dezelfde trojan in 190 games.
Dat kan door deze in bv een veelgebruikte library te verstoppen.
wallet @Mushroomician26 november 2021 20:47
Hahahaha...hebben we weer zo'n complotdenker :D

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq